INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY

CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA

Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

SEGURIDAD INFORMÁTICA

1. SEGURIDAD: La palabra Seguridad proviene del latín securitas, que a su vez deriva de securus (sin
cuidado, sin precaución, sin temor a preocuparse), que significa libre de cualquier peligro o daño,
y desde el punto de vista psicosocial se puede considerar como un estado mental que produce en
los individuos (personas y animales) un particular sentimiento de que se está fuera o alejado de
todo peligro ante cualquier circunstancia. La seguridad es la garantía que tienen las personas de
estar libre de todo daño, amenaza, peligro o riesgo; es la necesidad de sentirse protegidas, contra
todo aquello que pueda perturbar o atentar contra su integridad física, moral, social y hasta
económica.

2. INFORMÁTICA: la informática se refiere al procesamiento automático de información mediante

dispositivos electrónicos y sistemas computacionales. Los sistemas informáticos deben contar
con la capacidad de cumplir tres tareas básicas: entrada (captación de la información),
procesamiento y salida (transmisión de los resultados).

3. SEGURIDAD INFORMÁTICA: Es un estado de cualquier tipo de información (informático o no)

que indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño
todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del
mismo.
 INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY
CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA
Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

Características

Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque

no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe
tener estas cuatro características:

a) Integridad: los activos o la información solo pueden ser modificados por las personas
autorizadas y de la forma autorizada.

b) Confidencialidad: la información o los activos informáticos son accedidos solo por las
personas autorizadas para hacerlo.

c) Disponibilidad: los activos informáticos son accedidos por las personas autorizadas en el
momento requerido.

d) Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un

usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

4. AMENAZA
Se conoce como amenaza al peligro inminente, que surge, de un hecho o acontecimiento que aún
no ha sucedido, pero que de concretarse aquello que se dijo que iba a ocurrir, dicha circunstancia
o hecho perjudicará a una o varias personas en particular.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: Seguridad
física o humana, Seguridad lógica o de Software y Seguridad ambiental o natural.
 INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY
CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA
Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

a) Amenazas Físicas o Humanas

a.1. Ataques Pasivos

Usuarios con conocimientos básicos que acceden a la información de forma accidentada o con
técnicas sencillas. Por ejemplo, cuando un usuario lee el correo que un compañero ha dejado
abierto.

Hackers: Informáticos expertos que emplean sus conocimientos para comprobar las
vulnerabilidades de un sistema y corregirlas.

a.2. Ataques Activos

Persiguen dañar o manipular la información para obtener beneficios, por ejemplo:

 Antiguos empleados de una organización.

 Crackers o pirata informático: Expertos informáticos que burlan los sistemas de

seguridad, accediendo a ellos para obtener información, perjudicar un sistema informático
o realizar cualquier otra actividad ilícita.

b) Amenazas lógicas o de Software

El software que puede dañar un sistema informático, generalmente es de dos tipos:

Software malicioso: Programas diseñados con fines no éticos entre los que se encuentran los
virus, gusanos, troyanos y los espías que atacan los equipos comprometiendo su confidencialidad,
su integridad y su disponibilidad.
 INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY
CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA
Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

Vulnerabilidad del Software: Cualquier error de programación en el diseño, la configuración o el

funcionamiento del sistema operativo o de las aplicaciones pueden poner en riesgo la seguridad
del sistema si es descubierto por algún atacante.

c) Amenazas ambiental o natural

Las amenazas físicas están originadas habitualmente por 3 motivos:

 Fallos en los dispositivos.

 Accidentes

 Catástrofes naturales

5. OBJETIVOS
La seguridad informática tiene como objetivo principal proteger los activos que están asociados
directamente con los elementos que integran un sistema informático. Para lograr un ambiente
informático más seguro se puede decir que los elementos que integran un sistema informático
son: Información, Tecnologías de información, Personas o Usuarios e Inmuebles.

a) Información

La información podríamos considerarla como el reflejo de la realidad capaz de proporcionar

directa e indirectamente datos o conocimientos independientemente de si se trata de una
entidad física o intangible.
 INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY
CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA
Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

Por el valor que ésta representa para el desarrollo económico,

científico, técnico, social, político y administrativo, es tratada a
los efectos de la protección, como un bien, patrimonio del
Estado. Por tanto, constituye el elemento principal a proteger
en un Sistema Informático.

Es la información un elemento paciente de riesgo en el contexto

de un sistema informático exponiéndose a riesgos accidentales provocados por causas
naturales o fortuitas, así como objetivo principal de las amenazas intencionales las que
analizaremos en el transcurso de esta exposición.

La información tiene tres características que deben ser preservadas en un sistema

informático:

Su confidencialidad o acción de mantener su privacidad a partir de las reglas que se

establezcan para el acceso a la misma. La información no debe ser revelada ni descubierta
más que a las personas autorizadas y en el tiempo y forma que se haya convenido.

Su integridad o nivel de actualización, autenticidad y completamiento. Es la propiedad de

que la información sea exacta y completa, que no sea alterada más que por las personas
autorizadas.

Su disponibilidad que garantiza el acceso a la misma en cualquier momento, para usuarios

autorizados.

b) Tecnologías de información

Las tecnologías informáticas y de comunicaciones se han

convertido en medios indispensables para el procesamiento,
conservación, reproducción y transmisión de información.

Entre estas tecnologías podemos mencionar los medios

técnicos de computación, soportes magnéticos, ópticos,
software y aplicaciones modernas, protocolos de transmisión
de datos, utilización de cable coaxial, enlaces por fibra óptica y
transmisiones por satélites y otras.

Las tecnologías de comunicaciones son el soporte imprescindible para lograr enlace entre
computadoras, que incluye módems, protocolos de comunicación, utilización de cables
coaxiales, enlaces a través de fibra óptica y transmisiones por satélites.

Estas tecnologías debemos analizarlas desde dos puntos de vista en el momento de proyectar
un sistema de seguridad:

 Como medio paciente de riesgo ya que pueden ser robadas y dañadas de forma
intencional o no.
 INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY
CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA
Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

 Como medios para concretar un riesgo ya que pueden ser utilizadas para, cometer un
robo, sabotear una actividad productiva, difundir información contra los principios
éticos de nuestra sociedad socialista, desplegar campañas de desinformación y otros.

Este doble carácter implica la adopción de medidas de Seguridad Informática que permitan
garantizar la integridad física de los medios y no sean usados en actividades no deseadas.

c) Personas

El hombre es el factor principal en un sistema

informático, él lo diseña, lo pone en práctica, lo explota
y lo mantiene, tanto desde el punto de vista tecnológico
como informativo.

Participa activamente en el ciclo de vida de la

información, ya que la genera y destruye, pasando por
su actualización, almacenamiento, transmisión y
reproducción, según los distintos procesos por los cuales puede transitar. Es un elemento
susceptible a las influencias, tanto positivas como negativas del mundo circundante, que
puede provocar reacciones muy disímiles ante situaciones dadas; de ahí que constituya un
objetivo de trabajo de todos aquellos que pretendan desestabilizar el buen funcionamiento
del sistema informático en sentido general.
Por eso debemos estar conscientes que inducido o fortuitamente el hombre ante causas y
condiciones que lo propicien se convierte en la principal amenaza de un sistema informático,
al estar en capacidad de desencadenar acciones riesgosas contra el mismo.

De la misma forma si es capaz de concientizar su responsabilidad dentro del sistema de

medidas de Seguridad Informática, hará de este una coraza infranqueable en la defensa de la
confidencialidad, integridad y disponibilidad de la información y la adecuada utilización de
las tecnologías informáticas y de comunicaciones.

Entre las causas que pueden provocar conductas de amenazas a un sistema informático por
las personas, podemos citar las siguientes:

 Impulsos mezquinos o codiciosos que pueden provocar fraudes, robos y contaminación de

información entre otras.

 Descontento por la falta de reconocimiento al trabajo que realiza, condiciones

inadecuadas para ejecutar sus funciones o desacuerdo con las políticas de dirección de la
entidad.

 Desequilibrios psicológicos.

 Jóvenes experimentadores y ávidos de hacer público y centrar atención sobre sus

conocimientos en materia informática y de comunicaciones.

 Existencia de profesionales de espionaje electrónico que cobran fuerza con el alto grado
de conectividad en redes de computadoras en el mundo.
 INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY
CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA
Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

 Personal sin la calificación necesaria ocupando funciones vinculadas a la explotación de

sistemas informáticos o sobre calificación para puestos de trabajos que no lo requieren.

Todo esto alerta sobre la importancia de la selección del personal, con la preparación
profesional y confiabilidad que se ajuste con los puestos de trabajo dentro del sistema
informático, así como realizar un programa de concientización que contribuya a educar a los
hombres en el conocimiento de las obligaciones legales y medidas de protección que incluye
la seguridad informática.

d) Inmuebles

El inmueble como estructura arquitectónica constituye la primera barrera de contención

contra intrusos, y el control de la circulación interna del personal contra la captación de
emisiones electromagnéticas, los posibles desastres naturales, incendios fortuitos u otros
accidentes intencionales o no y forma parte del sistema de protección a profundidad dentro
de un sistema informático.

Evaluar sus condiciones constructivas, estado de la red eléctrica, ubicación y vías de acceso,
entre otros aspectos, puede ayudar a minimizar las amenazas y riesgos a los que se expone
el sistema informático.

6. INCIDENTE DE SEGURIDAD
Se considera un incidente de seguridad a:
1. Un evento adverso en un entorno informático, que puede comprometer o compromete la
confidencialidad, integridad o disponibilidad de la información.
2. Una violación o inminente amenaza de violación de una política de seguridad de la
información.

La seguridad informática se logra mediante la implementación de un apropiado sistema de

controles, que pudieran ser políticas, prácticas, procedimientos, estructuras organizacionales y
funciones de software. Estos controles necesitan ser establecidos para asegurar que los objetivos
específicos de seguridad se cumplan.

Para analizar la seguridad de un sistema se debe pensar en la forma en que el mismo pudiera
sufrir determinada pérdida o daño, para lo cual es necesario identificar las debilidades del
sistema.
 INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY
CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA
Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

La Seguridad Informática comprende además un grupo de funciones asociadas que pueden

expresarse de la forma siguiente:

 Regulación: Consiste en la capacidad de establecer las normas, preceptos, reglamentos y otro

tipo de medidas jurídicas que garanticen las bases para lograr un nivel de seguridad adecuado.
 Prevención: Las acciones que se realizan con el fin de minimizar los riesgos contra los activos
informáticos.
 Detección: Conocimiento de la materialización de una amenaza contra los activos
informáticos.
Enfrentamiento: Acciones de respuesta a un hecho detectado contra los activos informáticos.

7. ANÁLISIS DE RIESGOS

Teniendo en cuenta que el Análisis de riesgos no es más

que el proceso sistemático para estimar la magnitud de
los riesgos a que está expuesto una Organización, y que
el activo más importante que esta posee es la
información, deben existir técnicas que la aseguren,
más allá de la seguridad física que se establezca sobre
los equipos en los cuales se almacena. Estas técnicas las
brinda la seguridad lógica que consiste en la aplicación
de barreras y procedimientos que resguardan el acceso
a los datos y sólo permiten acceder a ellos a las
personas autorizadas para hacerlo.

Existe un viejo dicho en la seguridad informática que

dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. Los
medios para conseguirlo son:

Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y
archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).

Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento
elegido. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual
se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia
alternativos de transmisión entre diferentes puntos.

Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos
bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Actualizar
constantemente las contraseñas de accesos a los sistemas de cómputo.
 INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO DE HUARMEY
CARRERA PROFESIONAL DE COMPUTACION E INFORMÁTICA
Creado con R.M. N° 540-87-ED
Revalidado con R.D. N° 0065-2006-ED; R.D. N° 0629-2006 - ED

8. ELEMENTOS DE UN ANÁLISIS DE RIESGO

Cuando se pretende diseñar una técnica para implementar

un análisis de riesgo informático se pueden tomar los
siguientes puntos como referencia a seguir:

1. Construir un perfil de las amenazas que esté basado en

los activos de la organización.
2. Identificación de los activos de la organización.
3. Identificar las amenazas de cada uno de los activos
listados.
4. Conocer las prácticas actuales de seguridad.
5. Identificar las vulnerabilidades de la organización. Recursos humanos, Recursos técnicos,
Recursos financieros
6. Identificar los requerimientos de seguridad de la organización.
7. Identificación de las vulnerabilidades dentro de la infraestructura tecnológica.
8. Detección de los componentes claves
9. Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos.

9. TÉRMINOS RELACIONADOS CON LA SEGURIDAD INFORMÁTICA

 Activo: recurso del sistema de información o relacionado con este, necesario para que la
organización funcione correctamente y alcance los objetivos propuestos.
 Amenaza: es un evento que puede desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
 Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
 Control: es una acción, dispositivo o procedimiento que elimina o reduce una vulnerabilidad.
 Impacto: medir la consecuencia al materializarse una amenaza.
 Riesgo: Es la probabilidad de que suceda la amenaza o evento no deseado
 Vulnerabilidad: Son aspectos que influyen negativamente en un activo y que posibilita la
materialización de una amenaza.
 Desastre o Contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras necesarias para la operación normal de
un negocio.
Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían
englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y
vulnerabilidad, de modo que la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un
Impacto.
Se puede describir la relación entre vulnerabilidad, amenaza y control de la siguiente manera:
una amenaza puede ser bloqueada aplicando un control a una vulnerabilidad.