Seguridad Informática y Auditoría: Conceptos y Tipos

Enviado por Chuletator online y clasificado en Otras materias

Escrito el en español con un tamaño de 6,01 KB

Diferencia entre Información y Datos

Inf: Conjunto de datos que aportan conocimientos a persona o sistema. Datos: Información que recibe el ordenador a través de diferentes métodos.

Diferencia entre Fiabilidad y Alta Disponibilidad

Fiab: Características del sistema inf por el que se mide el tiempo de funcionamiento sin fallos. Alta disp: Capacidad de garantizar el funcionamiento de los servicios en casos difíciles.

Seguridad Informática

Asegurar recursos de los sistemas información sean utilizados de manera prevista y que el acceso a la inf sean para personas autorizadas.

Objetivos de la Seguridad Informática

  • Detectar problemas y amenazas.
  • Garantizar la autorización de los recursos y aplicaciones.
  • Limitar pérdidas y recuperar el sistema en caso de ataque.
  • Cumplir los requisitos organizativos y respetar la ley.

Fiabilidad: Es imposible garantizar completamente la seguridad.

Confidencialidad, Integridad y Disponibilidad

  • Confidencialidad: Solo tienen acceso las personas garantizadas.
  • Integridad: Solo tienen permiso de modificación las personas autorizadas.
  • Disponibilidad: Permanecer accesible a las entidades autorizadas.

Autentificación: Hace falta que se pueda identificar quien crea y quien modifica.

El repudio o irrenunciabilidad: Cada una de las partes de una cadena se puede afirmar que han hecho una acción.

Alta Disponibilidad

Capacidad de mantener un servicio/aplicación u otro tipo de operativo en correcto funcionamiento durante la mayor parte todos los días del año.

Interrupción

  • Prevista: Cuando se forma de manera controlada y a propósito para llevar a cabo por alguna razón.
  • Imprevistas: De forma no controlada (caídas de corriente, desastres naturales, etc.)

En todos los casos hay siempre tres tipos de tiempo MTBF, MTTF, MTTR que se aplican a la recuperación.

Sistemas de Seguridad

Sistema de seguridad está compuesto de tecnología y sus usuarios. Siendo su eslabón más inseguro, los usuarios, debido a que puede que no sean conscientes, pueden ejecutar software malicioso, tienen acceso a cuentas con privilegios, pueden ser susceptibles a ingeniería social y pueden no seguir las normas.

Elementos a Proteger

  • Maquinaria: Elementos tangibles y del sistema.
  • Programas: Elementos lógicos del sistema.
  • Datos: Representación lógica de proceso de programas, como una base de datos.
  • Recursos gastables: Recursos externos al sistema informático que se desgastan, CD, toner.

Vulnerabilidades

Una vulnerabilidad es cualquier punto débil interno de seguridad del sistema informático. Las amenazas son problemas que permitan explotar vulnerabilidades y son externos al sistema.

Vulnerabilidades de Origen Físico

Relacionadas con la instalación física que contienen el sistema informático.

Vulnerabilidades de Origen Natural

Generadas por fenómenos meteorológicos y catástrofes naturales.

Vulnerabilidades de Origen Maquinaria

Por mal diseño del equipo o componentes, desgaste, mal uso y errores de fabricante.

Vulnerabilidades de Redes

Acumuladas debido a que son conformadas por diferentes dispositivos en una red.

Vulnerabilidades Causadas por Programas

Debido a errores de programación o de diseño de los sistemas.

Vulnerabilidades Causadas por Factor Humano

Pueden ser causadas por desinformación, error o a mala fe.

Amenazas

Provocadas por el factor humano, pueden ser intencionadas o no, pero conforman la capacidad de perder información.

Ataques

  • Pasivos: Acceden a los datos sin autorización y los copian, como los robos de tarjeta.
  • Activos: Modifican para su beneficio algo de donde han atacado, por ejemplo deface.
  • Internos: Generados internos al organismo atacado.
  • Externos: Provocados por gente fuera del organismo.

Clasificación de Hackers

  • White Hat: Informan a los administradores de sus errores y no son destructivos.
  • Black Hat: Acciones destructivas, motivados normalmente por dinero a hacer el ataque.
  • Grey Hat: Combinación de los dos anteriores.
  • Script Kiddies: Utilizan programas pre hechos sin conocimiento de hacking.

Técnicas de Ataque

  • Malware: Software dedicado a ciberataques.
  • Ingeniería Social: Engaño para hacer ciberataques.
  • Scam: Intermediario de transferencia de dinero ilegal.
  • Spam: Correos masivos para engañar.
  • Ransomware: Programa para pedir rescate y bloquear acceso a información.
  • Sniffing: Observar el tráfico de internet o red.
  • Spoofing: Robar identidad en red o internet.
  • Pharming: Interferir con flujo de paquetes web para robar.
  • Botnet: Red de equipos controlados a distancia.
  • Phishing: Falsear identidad para conseguir acceso.
  • Password Cracking: Descifrar contraseñas para acceder.
  • DoS / DDoS: Ataque para denegar servicio y comunicación.

Auditoría

Estudio para identificar vulnerabilidades y corregirlas.

Objetivos de Auditoría

  • Revisar la seguridad.
  • Verificar el cumplimiento de la normativa.
  • Elaborar un informe independiente.

Tipos de Auditoría

  • Auditoría de Seguridad Interna.
  • Auditoría Perimetral.
  • Test de Intrusión.
  • Análisis Forense.
  • De Código de Aplicación.

Seguridad Física

Determina la ubicación física y aplica medidas contra incendios, etc.

Seguridad Pasiva

Copias de seguridad, contraseñas, cifrado, permisos.

Seguridad Lógica

Copias de seguridad, contraseñas, cifrado, permisos.

Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
seguridad informática auditoría vulnerabilidades ataques