Selección DE Mecanismo DE Seguridad Informática PARA Fortalecer LOS Controles DE Integridad PDF

Preview

Summary

asdas dsad asas ds adsadas...

Description

SELECCIÓN DE MECANISMO DE SEGURIDAD INFORMÁTICA PARA FORTALECER LOS CONTROLES DE INTEGRIDAD, CONFIDENCIALIDAD, DISPONIBILIDAD Y NO REPUDIO EN SU ENTORNO LABORAL INTRODUCCIÓN Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y la disponibilidad de un sistema informático. Existen muchos y variados mecanismos de seguridad informática. Su selección depende del tipo de sistema, de su función y de los factores de riesgo que lo amenazan. Estos mecanismos pueden ser algún dispositivo o herramienta física que permita resguardar un bien, un software o sistema que de igual manera ayude de algún modo a proteger un activo y que no precisamente es algo tangible, o una medida de seguridad que se implemente, por ejemplo, las políticas de seguridad. Se clasifican de la siguiente manera: Preventivos: Como su nombre lo dice, son aquellos cuya finalidad consiste en prevenir la ocurrencia de un ataque informático. Básicamente se concentran en el monitoreo de su información y de los bienes, registro de las actividades que se realizan en la organización y control de todos los activos y de quienes accedan a ellos. Detectores: Son aquellos que tienen como objetivo detectar todo aquello que pueda ser una amenaza para los bienes. Ejemplo de éstos son las personas y quipo de monitoreo, quienes puedan detectar cualquier intruso o anomalía en la organización. Correctivos: Los mecanismos correctivos se encargan de reparar los errores cometidos o daños causados una vez que se ha cometido el ataque, o, en otras palabras, modifican el estado del sistema de modo que vuelva a su estado original y adecuado. Disuasivos: Se encargan de desalentar a los perpetuadores de que cometan sus ataques para minimizar los daños que puedan tener los bienes.

ACTIVIDAD 1: Seleccionar un mecanismo de seguridad informática para fortalecer los controles de integridad, confidencialidad, disponibilidad y no repudio en su entorno laboral. A continuación, se mencionará los controles describiendo cada uno de ellos y el mecanismo de seguridad utilizado para dicho control.

Integridad: En este punto el servicio de integridad de datos detecta si se han modificado los datos de forma no autorizada, hay dos modos de alterar los datos: de forma accidental, mediante errores de hardware y transmisión o debido a un ataque deliberado. El único objetivo del servicio de integridad de datos es detectar si se han modificado los datos. Su objetivo no es restaurar los datos a su estado original si se han modificado. Para estas apartado de integridad el mecanismo a implementar son 3 puntos: 1) Software Antivirus: Es de vital importancia que cada computadora de la organización cuente con un antivirus, el cual recomendamos en el orden especifico, según el portal PCWORLD.      

Norton 360Deluxe McAfee Total Protection Bitdefender Total Security BullGuard Premium Protection ESET Internet Security Kaspersky Security Cloud

2) Software Firewall: El firewall es el principal escudo protector de una red para comprobar y permitir/denegar tanto el trafico entrante o saliente, configurado de manera adecuada, nuestra red podrá funcionar con una mejor seguridad debido al control que se realiza, y, por supuesto estará seguro ante trafico sospechoso. A continuación, se mencionan algunos softwares firewall que se podrían utilizar para s implementación:     

Pfsense OPNSense IPFire SmoothWall Untangle Firewall

3) Software para sincronizar transacciones: Ejercen control sobre las transacciones que se aplican a los datos.

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, su objetivo principal es prevenir la divulgación no autorizada de la información. Uno de los mecanismos implementados en este apartado es la criptografía, cuyo objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes. Algunos de los usos más comunes de la encriptación son el almacenamiento y transmisión de información sensible como contraseñas, números de identificación legal, números de tarjetas crédito, reportes administrativos contables y conversaciones privadas, entre otros. Para poder encriptar los datos, se pueden utilizar 3 procesos matemáticos diferentes: a) Algoritmo HASH: Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un numero único llamado MAC. Un mismo documento dará siempre un mismo MAC. b) Criptografía de Clave Secreta o Simétrica: Utiliza una clave con la cual se encripta y des encripta un documento. Todo documento encriptado con una clave, deberá des encriptarse con la misma clave, es importante destacar que la clave debería viajar con los datos, lo que hace arriesgada la operación, imposible de utilizar donde interactúan varios interlocutores. c) Algoritmos Asimétricos (RSA): Requieren dos claves, una privada (única y personal, solo conocida por su dueño) y la otra llamada publica, ambas relacionadas por una fórmula matemática compleja imposible de reproducir. Entre las herramientas de encriptación podemos encontrar las siguientes:     

ESET Endpoint Encriptation Bitlocker VeraCrypt AES Crypt Axcrypt

Disponibilidad: El objetivo de la disponibilidad es garantizar el acceso a un servicio o los recursos, para ello se implementan planes de prevención y planes de contingencia, dentro de ellos entra los respaldos de base de datos y de información importante para la empresa. Planes de Contingencia: Es un esquema que especifica los pasos a seguir en caso de que se interrumpa la actividad del sistema, con el objetivo de recuperar la funcionalidad. Respaldo de datos: Es el proceso de copiar los elementos de información recibidos, transmitidos, almacenados, procesados y/o generados por el sistema.

No repudio: Evitar el repudio de información constituye la garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada. En resumen, el no repudio en seguridad de la información es la capacidad de demostrar o probar la participación de las partes (origen y destino, emisor y receptor, remitente y destinatario), mediante su identificación, en una comunicación o en la realización de una determinada acción. Para garantizar el no repudio en seguridad informática se necesitan establecer los siguientes mecanismos:  

Identificación: mecanismo o proceso que provee la capacidad de identificar a un usuario de un sistema. Autenticación: permite verificar la identidad o asegurar que un usuario es quien dice ser.

Se suele aplicar a:    

Contratos formales establecidos de manera telemática. Comunicación entre dos partes. Transferencia de datos. Acciones de los usuarios en un sistema informático.

La firma electrónica: En seguridad informática y ciberseguridad uno de los mecanismos más importante de no repudio es la firma electrónica. Esta es el conjunto de datos asociados a un documento electrónico que identifican al firmante y dotan de validez legal al documento que se firma. Para garantizar el no repudio, esta firma debe estar vinculada exclusivamente a la persona que firma e identificarla unívocamente. Además, la rúbrica debe realizarse a través de un medio electrónico o digital que el firmante tiene bajo su único control y vincularse a los datos que se firman de tal manera que no se puedan modificar sin ser detectados los cambios. Los distintos tipos de firma electrónica son las siguientes: Simple: Se trata de aceptar o rechazar el contenido de un documento, son típicas en las condiciones generales de uso, políticas de seguridad o privacidad. Avanzada OTP: La persona firmante recibe un código a través de un canal de comunicaciones distinto al de la operativa de firma (p. ej. móvil o correo electrónico) al momento de firmar. Es típica su utilización en compras electrónicas u operaciones de banca electrónica. Biométrica: La persona firma físicamente en una Tablet o dispositivo electrónico. Se utiliza, por ejemplo, en el servicio de correo o transporte de paquetería, en las sucursales bancarias. Certificado Digital: Se firma mediante un certificado que se apoya en un par de claves, una privada y una pública. Hay que aclarar que certificado digital no es lo mismo que firma electrónica. El certificado digital es un documento que nos identifica en internet para poder realizar trámites

online y que permite la firma electrónica. Ejemplos de firma electrónica serían la firma realizada mediante el DNI electrónico o con los certificados digitales de persona física de la FNMT. 1) Descripción del mecanismo seleccionado para fortalecer los controles de integridad. Para poder fortalecer el mecanismo de seguridad en los controles de integridad es recomendable la instalación de antivirus para ejercer un control preventivo, detectivo y correctivo sobre ataques al sistema, así mismo implementar un firewall para ejercer un control preventivo y detectivo sobre instrucciones no deseadas en el sistema. 2) Explicación de cómo podría ser utilizado en el lugar de trabajo.

7.4.1. Métodos de Encriptación - Seguridad Informática (google.com) https://www.top10antivirussoft.com/es/? gclid=EAIaIQobChMI47jy4fXj8AIVRm5vBB0OpwMBEAAYBCAAEgKu7_D_BwE https://www.unir.net/ingenieria/revista/no-repudio-seguridad-informatica/...