Introduccion_a_la_seguridad_informatica.pdf -...

This preview shows page 1 out of 361 pages.

Unformatted text preview: Introducción a la Seguridad Informática Gabriel Baca Urbina Introducción a la Seguridad Informática Gabriel Baca Urbina PRIMERA EDICIÓN EBOOK MÉXICO, 2016 GRUPO EDITORIAL PATRIA Dirección editorial: Javier Enrique Callejas Coordinadora editorial: Estela Delfín Ramírez Supervisor de preprensa: Gerardo Briones González/Jorge A. Martínez Diseño de portada: Juan Bernardo Rosado Solís/Signx Ilustraciones: Adrian Zamorategui Berber Fotografías: © Thinkstockphoto Revisión técnica: Karla Nathali Porras Vázquez Universidad Autónoma de Nuevo León Daniel Sol Llaven Universidad Nacional Autónoma de México Introducción a la Seguridad Informática Derechos reservados: © 2016, Gabriel Baca Urbina © 2016, Grupo Editorial Patria, S.A. de C.V. Renacimiento 180, Colonia San Juan Tlihuaca Azcapotzalco, México D. F. Miembro de la Cámara Nacional de la Industrial Editorial Mexicana Registro Núm. 43 ISBN ebook: 978-607-744-471-8 Queda prohibida la reproducción o transmisión total o parcial del contenido de la presente obra en cualesquiera formas, sean electrónicas o mecánicas, sin el consentimiento previo y por escrito del editor. Impreso en México Printed in Mexico Primera edición ebook: 2016 Dedicatoria A Daniel, Natalia, Aranza y Gabriel, en los que cada día se cristaliza mi futuro. A mis maestros por estar siempre a mi lado apoyándome. VII Contenido Dedicatoria ........................................................................................ V Prefacio ................................................................................................ XIII 1. Generalidades de la seguridad informática .................... 2 1.1 Introducción ............................................................................................................. 4 1.2 El valor de la información .................................................................................. 5 1.3 Definición y tipos de seguridad informática............................................. 10 1.4 Objetivos de la seguridad informática......................................................... 19 1.5 Análisis de riesgos .................................................................................................. 23 Riesgos tecnológicos ...................................................................................... 24 Riesgos externos ............................................................................................... 28 Vulnerabilidades y amenazas: causas y tipos .................................... 29 Administración de riesgo ............................................................................. 32 Priorización e impacto de riesgos ............................................................ 41 Umbrales de tolerancia................................................................................. 43 Las etapas del proceso administrativo y la seguridad informática .......................................................................... 44 Normas para el análisis y administración del riesgos en TI ........................................................... 47 Metodologías de análisis de riesgos ....................................................... 48 2. Criptografía ................................................................................... 56 2.1 Introducción ............................................................................................................. 58 2.2 Criptografía clásica ................................................................................................ 58 Recoge dinero mismo lugar ........................................................................ 60 Cifrador de Hill ................................................................................................. 64 I N T R O D U C C I Ó N A L A S E G U R I D A D I N F O R M ÁT I C A VIII 2.3 Cifrador de Vigenere ...................................................................................... 67 Cifrador Playfair............................................................................................... 67 Cambios que afectaron la forma de cifrar .......................................... 71 Administración y seguridad de los sistemas criptográficos .......................... 83 Gestión no es administración, sino que va más allá ...................... 84 3. Características de PXI y de una PMI .................................... 98 3.1 Introducción ............................................................................................................. 100 3.2 ¿Cómo empezó todo?.......................................................................................... 101 3.3 Definición de conceptos .................................................................................... 109 ¿Qué es un certificado? ................................................................................ 109 Certificado digital ........................................................................................... 112 ¿Cómo se obtiene un certificado de identidad? ............................... 114 SOA (Service Oriented Architecture)...................................................... 116 Autoridad raíz de certificación ................................................................. 117 Infraestructura de clave pública (PKI) .................................................... 117 Infraestructura de la administración de privilegio (PMI) .............. 119 Atributos .............................................................................................................. 122 Fuente de autoridad o inicio de autoridad (SOA) ............................ 124 Políticas de emisión de certificados ........................................................ 125 Prácticas de certificación ............................................................................. 127 El papel de los protocolos en PKI y PMI................................................ 129 4. La seguridad física y lógica en redes .................................. 140 4.1 Introducción ............................................................................................................. 142 4.2 Riesgos físicos de los centros de cómputo y de las redes............................... 143 4.3 La ingeniería social................................................................................................. 150 4.4 La seguridad lógica en las redes.............................................................................................. 153 Suplantación de la dirección IP................................................................. 153 Uso de rastreadores de red ......................................................................... 155 Ataques a servidores de la Web ............................................................... 157 Inyección SQL .................................................................................................... 158 CONTENIDO IX Correo spam ...................................................................................................... 161 Ataques de secuencias de comandos ..................................................... 165 Análisis de puertos .......................................................................................... 168 Secuestros informáticos ............................................................................... 171 Virus informáticos y seguridad.................................................................. 172 Medidas preventivas ............................................................................................. 177 Antivirus pirata o falso ................................................................................. 178 ¿Cómo funciona un antivirus?................................................................... 178 4.7 Sistema de prevención de intrusiones ......................................................... 179 4.8 Forma de proceder de un hacker........................................................................................... 182 4.6 5. Firewalls como herramientas de seguridad ................................... 192 5.1 Introducción ............................................................................................................. 194 5.2 Tipos de ataques informáticos ........................................................................ 195 Spoofing ............................................................................................................... 195 Ataque de negación del servicio .............................................................. 197 Rootkit y botnet ............................................................................................... 198 Phishing................................................................................................................. 200 5.3 El modelo OSI .......................................................................................................... 201 5.4 ¿Qué es un firewall y cómo funciona?......................................................... 204 5.5 Tipos de firewall ..................................................................................................... 206 Nivel de aplicación de pasarela ............................................................... 206 Circuito a nivel pasarela .............................................................................. 207 Zona desmilitarizada ..................................................................................... 209 Para computadoras personales................................................................. 210 5.6 Firewall de software y de hardware .............................................................. 212 5.7 Los firewall de software de última generación........................................ 215 5.8 Limitaciones de los firewall............................................................................... 218 5.9 Políticas de los firewall ........................................................................................ 219 5.10 ¿Cómo elegir el firewall más adecuado? .................................................... 220 I N T R O D U C C I Ó N A L A S E G U R I D A D I N F O R M ÁT I C A X 6. Las contingencias en seguridad informática e informática forense................................................................ 228 6.1 Introducción ............................................................................................................. 230 Dominio de entrega y soporte .................................................................. 232 6.2 El plan de contingencia informática ............................................................. 237 6.3 Determinación de parámetros antes de elaborar los planes ............ 243 6.4 Plan de prevención ................................................................................................ 249 6.5 Plan de predicción ................................................................................................ 256 6.6 Plan de corrección o plan de continuidad en el negocio ................... 258 Etapa de identificación de consecuencias ........................................... 259 Etapa de determinación de los recursos necesarios para enfrentar con éxito la consecuencia...................................................... 260 Etapa de toma de decisión.......................................................................... 262 6.7 Norma ISO 27000 .................................................................................................. 264 6.8 Norma BS 25999 para la continuidad del negocio ................................. 267 6.9 Informática forense ............................................................................................... 272 Hardware y software para la informática forense .......................... 276 Informática forense en dispositivos móviles de comunicación . 276 Recuperación de archivos ............................................................................ 277 Recuperación de contraseñas .................................................................... 279 7. Auditoría en seguridad informática .................................... 290 7.1 Introducción ............................................................................................................ 292 7.2 Las etapas de una auditoría ............................................................................. 297 Requisitos para ser auditor en informática......................................... 300 7.3 7.4 Criterios que se deben emplear en una auditoría............................ 301 Cómo se realiza una auditoría.......................................................................... 303 El plan de la auditoría ................................................................................... 303 Ejecución de la auditoría ............................................................................. 305 Mantener con ética y prudencia las evidencias y las opiniones .. 309 Reporte de la auditoría ................................................................................ 310 La auditoría en la práctica.................................................................................. 310 CONTENIDO XI Modelo de Bell-Lapadula ............................................................................ 315 Modelo de Brewer-Nash .............................................................................. 315 Modelo HRU ...................................................................................................... 317 Apéndice. El ciclo de vida de los proyectos informáticos ................................................................ 331 Introducción ............................................................................................................. 331 El ciclo de vida de los proyectos informáticos ....................................... 332 Detección de nuevas necesidades ............................................................ 332 Análisis .................................................................................................................. 333 Definición del producto a elaborar ........................................................ 334 Diseño ................................................................................................................... 334 Codificación ....................................................................................................... 334 Prueba del producto....................................................................................... 334 Validación ........................................................................................................... 334 Mantenimiento y evolución ....................................................................... 334 Inicio de un nuevo ciclo ................................................................................ 335 Glosario DESCARGAR XIII Prefacio Hoy día, la información no se protege y preserva sólo para que no sea dañada, sino por la importancia y el uso que ésta tiene en todos los ámbitos de la vida. El comercio internacional, las instituciones bancarias y todo tipo de empresas mantienen sus operaciones gracias a que la información fluye a través de todos sus departamentos y áreas. La información se utiliza en cualquier empresa para realizar cuatro tipos de actividades: planeación, dirección, organización y control, las cuales fueron definidas hace más de 100 años por el ingeniero francés Henry Fayol. Lo que significa que la información se preserva para llevar a cabo en forma óptima el proceso administrativo dentro de cualquier organización, de cualquier tipo de actividad y cualquier tamaño. Incluso en la computadora personal que se tiene en casa, quienes la utilizan también realizan una o varias de esas actividades, aunque a una escala mucho menor de lo que se hace en cualquier empresa u organización. Todos, de alguna forma u otra, administramos nuestras vidas con información valiosa; desde el joven estudiante que requiere de una computadora para realizar sus tareas estudiantiles, así como para organizarlas y controlar el contenido de toda la información que cotidianamente reúne y aprende, hasta el ama de casa o el profesional que requiere de una computadora para planear sus actividades, organizarlas y controlarlas. Es tan valiosa la información, tanto en el ámbito personal como en el de las empresas, que es considerada un activo en extremo valioso; por esta razón, siempre está expuesta a amenazas. Imaginemos, aunque sea por un momento, que somos poseedores de grandes sumas de dinero en efectivo u oro que conservamos en nuestra casa, ¿qué es lo primero que haríamos para proteger esos activos? Sin duda, lo que haríamos sería resguardarlos lo más posible, a fin de evitar un robo, por la sencilla razón de que son demasiado valiosos. Y quien los roba o sustrae obtiene un beneficio personal y daña seriamente nuestro patrimonio. La información funciona en forma muy similar. Constituye el activo más valioso que tiene una empresa, después del activo humano, por lo que I N T R O D U C C I Ó N A L A S E G U R I D A D I N F O R M ÁT I C A XIV siempre está expuesta a sufrir un robo o un daño. Al ser víctima de robo o daño de información, una empresa se ve seriamente afectada, al grado de que puede llegar a detener sus actividades por esta causa. Los riesgos a que está expuesta la información, se conocen como físicos y lógicos. Los riesgos físicos son el daño que puede sufrir el hardware y en general las instalaciones del centro o área de cómputo de la empresa. Muchos de estos daños no son intencionales, sino naturales, como terremotos o inundaciones; no obstante, muchos otros sí lo son, obviamente causados por personas maliciosas. Por su parte, todos los riesgos lógicos conocidos han sido creados y siguen siendo creados por personas que tienen la intención de dañar o robar información de los sistemas informáticos empresariales o de las computadoras personales de un hogar. Robar secretos tecnológicos de las empresas, robar información confidencial, robar cuentas y claves bancarias para vaciar cuentas de clientes en bancos o para realizar transferencias electrónicas no autorizadas de dinero son, entre muchos otros, algunos de los riesgos lógicos más comunes. Este texto describe con detalle no sólo los riesgos físicos y lógicos a los que están expuestos todos los sistemas informáticos empresariales y computadoras personales, sino la forma en que se puede disminuir la probabilidad de ocurrencia de tales riesgos. De igual modo, también describe los mecanismos que se han ideado para proteger de riesgos lógicos a las transacciones económicas internacionales, así como las protecciones comunes que toda empresa debe adquirir para resguardar sus datos, como los firewall y una serie de dispositivos que pueden rastrear y detectar cualquier vulnerabilidad que tenga el sistema informático, con los cuales dicha vulnerabilidad puede disminuirse. Además, también presenta el procedimiento general para realizar informática forense y auditorías informáticas. De esta forma, el capítulo 1, Generalidades de la seguridad informática, aborda el porqué la información es tan valiosa para cualquier organización, los tipos de seguridad informática y los objetivos de la seguridad informática. Asimismo, describe los tipos de riesgo que existen, menciona el concepto de vulnerabilidad y de amenaza informática y explica en qué consiste la P R E FA C I O priorización de riesgos, los umbrales de tolerancia y el uso de la información en el proceso administrativo. En el capítulo 2, Criptografía, se describen los métodos que pertenecen a la criptografía clásica, así como los criptogramas clásicos más conocidos y cómo funcionan, como el cifrado de Hill, el de Vigenere y el de Playfair; además, también se hace alusión a los cambios que modificaron la forma de cifrar, como contar con mejores computadoras...
View Full Document

  • Left Quote Icon

    Student Picture

  • Left Quote Icon

    Student Picture

  • Left Quote Icon

    Student Picture