INSTITUTO DE EDUCACIÓN SUPERIOR TECNOLÓGICO PÚBLICO
“VÍCTOR RAÚL HAYA DE LA TORRE” Carrera Profesional de Computación e Informática
Instituto de Educación Superior Tecnológico Público “Víctor Raúl Haya de la Torre”
Unidad Didáctica: Seguridad Informática
ACTIVOS Y SEGURIDAD LÓGICA INFORMÁTICA Ing. Jorge Luis Pariasca León
1
DEFINICIÓN DE SOFTWARE
2
Conjunto de programas que le indican al computador qué hacer y cómo operar para generar los resultados esperados. El software permite que al usuario utilizar el computador con distintos fines.
CLASIFICACIĂ“N DEL SOFTWARE Lenguaje Alto Nivel
Lenguaje Lenguaje Hardware Ensamblador Maquina
Sistema Operativo
Aplicaciones
3
Herramientas
CLASIFICACIÓN DEL SOFTWARE LENGUAJE DE ALTO NIVEL
LENGUAJE ENSABLADOR COMPILADOR
ASSEMBLER add $2, $4, $2 lw $15, 0($2)
ENSAMBLADOR APLICACIÓN
LENGUAJE MÁQUINA
X 4
01110000101 00101011000
LENGUAJE MÁQUINA
Único lenguaje que entiende el hardware (máquina). Específico para cada hardware (procesador, dispositivos, etc.). Programa: almacenado en memoria, contiene instrucciones y datos.
5
LENGUAJE ENSAMBLADOR Software, generalmente escrito en lenguaje de máquina, capaz de traducir de lenguaje ensamblador a lenguaje de máquina. Usa mnemónicos para codificar las operaciones. Los datos y/o direcciones son codificados generalmente como números en sistema hexadecimal. Es específico (aunque no único) para cada lenguaje de máquina. 6
LENGUAJE DE ALTO NIVEL Es un lenguaje con una estructura sintĂĄctica mas rica que le permite mayor expresividad. Cuenta con un conjunto de palabras reservadas, para codificar estructuras de control e instrucciones. Permite el uso de expresiones aritmĂŠticas y relacionales. 7
SISTEMA OPERATIVO
Software encargado de administrar los recursos del sistema. Ofrece un conjunto de comandos a los humanos, para interactuar con la mรกquina. Puede ser escrito en lenguaje de alto nivel, en lenguaje ensamblador y/o en lenguaje mรกquina. 8
SOFTWARE DE APLICACIÓN Software que le permite al computador realizar una tarea específica.
Procesadores de Texto
9
Video Juegos
Hojas de Calculo
SOFTWARE LIBRE
El software libre es aquel que puede ser distribuido, modificado, copiado y usado; por lo tanto, debe venir acompa帽ado del c贸digo fuente para hacer efectivas las libertades que lo caracterizan.
10
SOFTWARE PROPIETARIO El software no libre también es llamado software propietario, software privativo, software privado o software con propietario. Se refiere a cualquier programa informático en el que los usuarios tienen limitadas las posibilidades de usarlo, modificarlo o redistribuirlo (con o sin modificaciones), o que su código fuente no está disponible o el acceso a este se encuentra restringido.
11
SISTEMAS INFORMÁTICOS Un sistema informático como todo sistema, es el conjunto de partes interrelacionadas, hardware, software y de recurso humano que permite almacenar y procesar información. El hardware incluye computadoras o cualquier tipo de dispositivo electrónico inteligente. El software incluye al sistema operativo y aplicaciones, siendo especialmente importante los sistemas de gestión de bases de datos. Por último el soporte humano incluye al personal técnico que crean y mantienen el sistema (analistas, programadores, operarios, etc.) y a los usuarios que lo utilizan.
12
SISTEMAS INFORMÁTICOS
13
SISTEMAS DE BASE DE DATOS Una Base de Datos es una colección de datos lógicamente coherente y relacionados con algún tipo de significado, que pueden procesarse por alguna aplicación informática.
14
DATOS Los datos son sĂmbolos que describen hechos, condiciones, situaciones o valores. Por si mismo, los datos no tienen capacidad de comunicar un significado. La importancia de los datos estĂĄ en su capacidad de asociarse dentro de un contexto para convertirse en informaciĂłn.
15
INFORMACIÓN Información es un conjunto de datos significativos y pertinentes que describan sucesos o entidades del mundo real. La información corresponde a los datos procesados. Sin embargo, la información no es un conjunto cualquiera de datos; es más bien una colección de hechos significativos y pertinentes, para el organismo u organización que los percibe.
16
INFORMACIÓN Datos
Información Sistema Informático
• Datos de clientes. • Datos de productos • Detalle de las ventas. • Detalle de los pagos.
17
Transacciones
• Facturas. • Historial de Clientes. • Historial de Ventas. • Historial de Inventario.
SEGURIDAD LÓGICA La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. Los objetivos que se plantean son: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 5. Que la información recibida sea la misa que ha sido transmitida. 6. Que existan sistemas alternativos de emergencia para la transmisión de información.
18
SEGURIDAD LÓGICA: CONTROL DE ACESOS Estos controles pueden implementarse en el sistema operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete especifico de seguridad o en cualquier otro utilitario. Asimismo, es conveniente tener en cuanta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso. A un determinado recurso.
19
SEGURIDAD LÓGICA: IDENTIFICACIÓN Y AUTENTICACIÓN Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios. Se denomina identificación al momento en que el usuario se da a conocer en el sistema; y autentificación a la verificación que realiza el sistema sobre esta identificación. Existen 4 tipos de técnicas que permiten realizar la autentificación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas: 1. 2. 3. 4.
Algo que solamente el individuo conoce (password, pin, llave, etc.) Algo que la persona posee (tarjeta magnética) Algo que el individuo es y lo identifica unívocamente (huella, voz, etc.) Algo que el individuo es capaz de hacer (patrones de escritura) 20
SEGURIDAD LÓGICA
Roles El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. (administrador, usuario, invitado, etc.)
Transacciones También pueden implementarse controles a través de las transacciones (solicitar una clave al requerir el procesamiento de una transacción determinada.)
Limitaciones de servicios Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema (utilización simultanea de un determinado producto de software para 5 personas, y no permita uno más.
21
SEGURIDAD LÓGICA
Modalidad de acceso Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser: Lectura, escritura, ejecución, borrado, y todas las anteriores. Y otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación.
Ubicación y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto horarios, este tipo de controles perite limitar el acceso de los usuarios a determinadas horas del día o a determinados días de la semana. De esta forma se mantiene un control mas restringido de los usuarios y zonas de ingreso.
22
SEGURIDAD INFORMÁTICA
Ataques contra el flujo de la información
FLUJO NORMAL Los mensajes en una red se envían a partir de un emisor a uno o varios receptores El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes, intencionales o accidentales.
Receptor
Emisor
Atacante
SEGURIDAD INFORMÁTICA
INTERRUPCION El mensaje no puede llegar a su destino, un recurso del sistema es destruido o temporalmente inutilizado. Este es un ataque contra la Disponibilidad Ejemplos: Destrucción de una pieza de hardware, cortar los medios de comunicación o deshabilitar los sistemas de administración de archivos.
Receptor
Emisor
Atacante
SEGURIDAD INFORMÁTICA
INTERCEPCION Una persona, computadora o programa sin autorización logra el acceso a un recurso controlado. Es un ataque contra la Confidencialidad. Ejemplos: Escuchas electrónicos, copias ilícitas de programas o datos, escalamiento de privilegios.
Receptor
Emisor
Atacante
SEGURIDAD INFORMÁTICA
MODIFICACION La persona sin autorización, además de lograr el acceso, modifica el mensaje. Este es un ataque contra la Integridad. Ejemplos: Alterar la información que se transmite desde una base de datos, modificar los mensajes entre programas para que se comporten diferente.
Receptor
Emisor
Atacante
SEGURIDAD INFORMÁTICA
FABRICACION Una persona sin autorización inserta objetos falsos en el sistema. Es un ataque contra la Autenticidad. Ejemplos: Suplantación de identidades, robo de sesiones, robo de contraseñas, robo de direcciones IP, etc... Es muy difícil estar seguro de quién esta al otro lado de la línea.
Receptor
Emisor
Atacante
Actividad.
¿Qué
es el copileft? Ejemplos de virus informáticos (nombres) y tipo de virus. Ataques famosos realizados con virus informáticos. 28