Escolar Documentos
Profissional Documentos
Cultura Documentos
computadoras 2
1 CRIPTOGRAFA
Rama inicial de las matemticas y en la actualidad tambin de la informtica y la
telemtica, que hace uso de mtodos y tcnicas con el objeto principal de cifrar, y
por tanto proteger, un mensaje o archivo por medio de un algoritmo, usando una o
ms claves.
Esto dar lugar a diferentes tipos de sistemas de cifra, denominados criptosistemas,
que nos permiten asegurar al menos tres de los cuatro aspectos bsicos de la
seguridad informtica: la confidencialidad o secreto del mensaje, la integridad del
mensaje y autenticidad del emisor, as como el no repudio mutuo entre emisor y
receptor.
Pgina 1 de 21
o Cifrado con clave pblica: Sistemas asimtricos
Pgina 2 de 21
1.3 CRIPTOSISTEMAS ASIMTRICOS
Cada usuario crea un par de claves, una privada y otra publica, inversas dentro de
un cuerpo finito. Lo que se cifra en emisin con una clave, se descifra en recepcin
con la clave inversa. La seguridad del sistema reside en la dificultad computacional
de descubrir la clave privada a partir de la pblica. Para ello, usan funciones
matemticas de un solo sentido o con trampa.
Pgina 3 de 21
Pgina 4 de 21
Pgina 5 de 21
Que usar: Cifrado simtrico o asimtrico
Los sistemas de clave pblica son muy lentos, pero tienen un fcil intercambio de
clave y cuentan con firma digital (lo utilizaremos para la firma e intercambio de
clave de sesin).
Los sistemas de clave secreta son muy rpidos, pero carecen de lo anterior.
(utilizaremos para el cifrado de la informacin).
Pgina 6 de 21
1.5 CIFRADO EN BLOQUE
El mismo algoritmo de cifrado se aplica a un bloque de informacin (grupo de
caracteres, numero de bytes, etc.) repetidas veces, usando la misma clave. El
bloque de texto de informacin a cifrar, normalmente ser de 64 o 128 bits.
Pgina 7 de 21
2 SEGURIDAD INFORMTICA
Es un conjunto de mtodos y herramientas destinadas a proteger la informacin y
por ende los sistemas informticos ante cualquier amenaza, un proceso en el cual
participan adems personas.
A pesar de todas las amenazas del entorno, que sern muchas y muy distinto tipo,
tendremos que aplicar polticas, metodologas y tcnicas de proteccin de la
informacin porque la conectividad es vital.
El estudio de la seguridad informtica podramos plantearlo desde dos enfoques
distintos, aunque complementarios:
Pgina 8 de 21
Las medidas de control se implementan para que tengan un comportamiento
efectivo, eficiente, sean fciles de usar y apropiadas al medio. Efectivo es
que funcionen en el momento oportuno. Eficiente es que optimicen los
recursos del sistema. Apropiadas es que pasen desapercibidas para el
usuario. Y lo ms importante: ningn sistema de control resulta efectivo
hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la
concienciacin de los usuarios, este ser uno de los grandes problemas de la
gestin de la seguridad informtica.
Pgina 9 de 21
2.4 ELEMENTOS BSICOS DE LA SEGURIDAD INFORMTICA
Confidencialidad: Los componentes del sistema sern accesibles solo por
aquellos usuarios autorizados.
Integridad: Los componentes del sistema solo pueden ser creados y
modificados por los usuarios autorizados.
Disponibilidad: Los usuarios deben tener disponibles todos los
componentes del sistema cuando as lo deseen.
No repudio: Est asociada a la aceptacin de un protocolo de comunicacin
entre emisor y receptor (cliente y servidor) normalmente a travs del
intercambio de sendos certificados digitales de autenticacin. Entonces se
habla de no repudio de origen y no repudio de destino, forzando a que se
cumplan todas las operaciones por ambas partes en una comunicacin. muy
importante para la credibilidad de las transacciones.
o No repudio en origen: el emisor no puede negar que envi el
mensaje (el receptor tiene las pruebas para demostrarlo)
o No repudio en destino: el receptor no puede negar que recibi el
mensaje (el emisor tiene las pruebas para demostrarlo)
Pgina 10 de 21
Autenticacin de entidad: de entidad (usuario o equipo).
Si se cumplen los principios vistos anteriormente, diremos en general que los datos
estn protegidos y seguros.
Esto se entiende en el siguiente sentido: Los datos solo pueden ser conocidos por
aquellos usuarios que tienen privilegios sobre ellos, solo usuarios autorizados los
podrn crear o bien modificar, y tales datos debern estar disponibles.
Pgina 11 de 21
2.6 SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN
Un SGSI es una abreviatura utilizada para referirse a un sistema de gestin de
seguridad de la informacin. Para garantizar que la seguridad de la informacin es
gestionada correctamente, se debe hacer uso de un proceso sistemtico,
documentado y conocido por toda la organizacin, desde un enfoque de riesgo
empresarial. Este proceso constituye un SGSI. El SGSI ayuda a establecer las
polticas y procedimientos en relacin a los objetivos de negocio de la organizacin,
con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que
la propia organizacin ha decidido asumir. Con un SGSI, la organizacin conoce los
riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o
controla mediante una sistemtica definida, documentada y conocida por todos,
que se revisa y mejora constantemente.
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su
confidencialidad, integridad y disponibilidad, as como de los sistemas implicados
en su tratamiento, dentro de una organizacin.
Pgina 12 de 21
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos:
2.9.1 Planificar:
o Definir el alcance del SGSI en trminos del negocio, la organizacin,
su localizacin, activos y tecnologas, incluyendo detalles y
justificacin de cualquier exclusin.
o Definir una poltica de seguridad que incluya el marco general y los
objetivos de seguridad de la informacin de la organizacin, considere
requerimientos legales o contractuales relativos a la seguridad de la
informacin; que este alineada con el contexto estratgico de gestin
de riesgos de la organizacin, que establezca los criterios con los que
se va a evaluar el riesgo y que est aprobada por la direccin.
o Definir una metodologa de evaluacin del riesgo apropiada para
el SGSI y los requerimientos del negocio, adems de establecer los
criterios de aceptacin del riesgo y especificar los niveles de riesgo
aceptable.
o Identificar riesgos:
Identificar los activos que estn dentro del alcance del SGSI y
sus responsables directos
Identificar amenazas en relacin a los activos
Identificar las vulnerabilidades que puedan ser aprovechadas
por dichas amenazas
Identificar los impactos en la confidencialidad, integridad y
disponibilidad de los activos.
o Analizar y evaluar riesgos
Analizar el impacto en el negocio de un fallo de seguridad que
suponga la perdida de confidencialidad, integridad o
disponibilidad de un activo de informacin.
Pgina 13 de 21
Evaluar de forma realista la probabilidad de ocurrencia de fallos
o amenazas.
Estimar niveles de riesgo.
Determinar segn niveles, si el riesgo es aceptable o no.
o Identificar y evaluar las distintas opciones de tratamiento de los
riesgos para:
Aplicar controles adecuados. Mitigar riesgo
Aceptar e riesgo, siempre y cuando se siga cumpliendo con las
polticas y criterios establecidos para la aceptacin de los
riesgos. Aceptar riesgo
Evitar el riesgo, por ejemplo, mediante el cese de actividades
que lo originan.
Transferir el riesgo a terceros, por ejemplo, compaas
aseguradoras o proveedores de outsourcing.
o Seleccionar objetivos de control y controles del anexo A de ISO 27001
para el tratamiento del riego que cumplan con los requerimientos
identificados en la evaluacin de riesgos.
o Aprobar or parte de la direccin tanto los riesgos residuales como la
implementacin y uso del SGSI.
o Definir una declaracin de aplicabilidad.
3 GESTIN DE REDES
La gestin de redes de datos es el conjunto de actividades dedicadas al control y
vigilancia de la infraestructura de comunicaciones.
Pgina 14 de 21
3.3 MODELOS DE GESTIN DE REDES
Desde el origen de TCP/IP se utiliza para la gestin de redes de datos, herramientas
basadas en el protocolo ICMO (protocolo de control de mensajes de internet). La
principal herramienta es PING (Packet INternet Grouper) que permite comprobar la
comunicacin entre dos mquinas, calcular tiempos medios de respuesta y perdidas
de paquetes. Al ser parte de la familia de protocolos TCP/IP, todas las maquinas
disponen de este protocolo. En los aos 80 surgen tres propuestas de estndar de
protocolo de gestin para TCP/IP:
Pgina 15 de 21
Estructura de gestion
Primitivas de protocolo
Comunicacin gestion a gestion
Seguridad (firma digital)
Pgina 16 de 21
3.4.1 Comandos bsicos de SNMP
Los dispositivos administrados son supervisados y controlados utilizando 4
comandos SNMP bsicos:
Pgina 17 de 21
Un identificador de objeto nicamente identifica un objeto administrado en la
jerarqua MIB. La jerarqua MIB puede ser representada como un rbol con una raz
annima y los niveles que son asignados por diferentes organizaciones.
3.4.4.1Agentes proxy
Un agente SNMP V2 puede actuar como un agente proxy en nombre de un MD
SNMP V1, de la siguiente forma:
Pgina 18 de 21
El NMS enva un mensaje SNMP hacia el agente proxy SNMP V2.
El agente proxy reenva Get, GetNext y mensajes Set sin cambios hacia un
agente SNMPV1.
Los mensajes GetBulk son convertidos por el agente proxy para mensajes
GetNExt y luego remitidos a el agente SNMP V1.
El agente proxy mapea los mensajes Traps SNMP V1 hacia los mensajes Traps SNMP
V2 y luego transmite el NMS.
Pgina 19 de 21
3.6 ITIL
La visin de ITIL corresponde a una visin actual del estado de la informtica en las
empresas, presenta muchas diferencias, hace foco en el negocio de la tecnologa,
apareciendo la figura del gerente de informtica. Provee servicio, y en este caso
considera la figura del cliente en lugar del usuario, es decir que hay que vender el
Pgina 20 de 21
servicio. Maneja la prevencin y control, por tal motivo se dice que es proactivo, y
en este caso est integrado en las decisiones empresariales.
En este enfoque cada rea de la informtica responde por sus problemas, teniendo
cada una un gerente asignado, para lo cual se establece un objetivo de nivel de
servicio (SLO) para establecer los objetivos de disponibilidad y rendimiento de una
aplicacin.
3.8 COBIT
Objetivos de control para informacin y tecnologas relacionadas, es una gua de
mejores prcticas presentada como framework, dirigida al control y supervisin de
tecnologa de la informacin (TI). Tiene una serie de recursos que pueden servir de
modelo de referencia para la gestin de TI, incluyendo un resumen ejecutivo, un
framework, objetivos de control, mapas de auditoria, herramientas para su
implementacin y principalmente, una gua de tcnicas de gestin.
Pgina 21 de 21