Page 1

UNIVERSIDAD ANDINA DEL CUSCO FACULTAD DE INGENIERÍA Y ARQUITECTURA DEPARTAMENTO ACADÉMICO DE INGENIERÍA DE SISTEMAS SEMINARIO TALLER DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

Guía de aplicación Nro. 07 Seguridad de la Información I.

DATOS INFORMATIVOS 1.1. 1.2. 1.3. 1.4. 1.5.

II.

Seminario Taller de Tecnologías de Información y Comunicación. 2018-I. I. Estudios de Formación General - EFG. Anexo 1 del Silabo

Conoce y analiza los conceptos básicos de tecnologías de información y comunicación, considerando la administración, seguridad y divulgación de la información en la nube. Reconoce la necesidad de proteger sus datos personales y su identidad digital.

CAPACIDADES  

IV.

: : : : :

COMPETENCIAS A CONSEGUIR: 

III.

Nombre de la asignatura Semestre Académico Ciclo de estudios Categoría Docente

Analiza y hace uso de los servicios que ofrece la nube, teniendo en consideración la administración, seguridad y divulgación de la información en ésta. Protege su información, sus datos personales y su identidad digital.

FUNDAMENTO TEÓRICO 4.1. Introducción a la seguridad de la Información Es el conjunto de medidas preventivas y correctivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información, buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma. El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, más aún con la digitalización de la información y el uso de medios y dispositivos de comunicación tecnológicos. Para las personas, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones o repercusiones dependiendo de la cultura de donde provenga el individuo, y es que tenemos un perfil físico, características e información que nos permiten identificarnos físicamente, pero también tenemos una identidad digital, que puede ser valiosa o sensible para uno mismo, por lo que debe ser protegida.

4.2. Claves de la seguridad de la información La información es poder, y según las posibilidades estratégicas que ésta ofrezca, tener acceso a cierta información puede ser determinante para uno. Por ello, es importante saber su nivel de importancia y así establecer medidas de difusión, que pueda ser mal utilizada, ser robada, borrada o saboteada. A continuación, se tiene una clasificación de la misma.  Crítica: Es indispensable para la operación de la empresa. (cartera de clientes y proveedores)  Valiosa: Es un activo de la empresa y muy valioso. (receta de cocacola)  Sensible: Debe de ser conocida por las personas autorizadas (lanzamiento de nuevo producto). Así, se establecen dos aspectos que pueden ayudar en su administración y protección.  Riego: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio o de las personas.  Seguridad: Establecer los lineamientos que permitan de alguna forma reducir los riesgos.

4.3. Seguridad lógica: Es el conjunto de medidas destinadas a la protección de datos y aplicaciones informáticas, así como a


garantizar el acceso a la información únicamente por las personas autorizadas.

4.4. Identidad digital En un momento en el que todo gira en torno a las nuevas tecnologías, se define como Identidad Digital al conjunto de características que permiten que una persona exista en la red, significa tener una representación de uno mismo, aquella que construimos en base a nuestra actividad, es decir son rasgos que caracterizan a un individuo o colectivo en un entorno tecnológico. Estos rasgos se construyen a partir de nuestra actividad en la red, se genera más información, cada vez que aportamos textos, imágenes y vídeos en la web (redes sociales y páginas en general). Nuestra identidad digital por ende se relaciona con la de los demás, y es vista por todos de una forma subjetiva, lo que definirá nuestra reputación digital. 4.5.

Directivas de seguridad de la información Son un conjunto de reglas y protocolos que gobiernan dentro de la transmisión de datos entre la comunicación de dispositivos para ejercer una confidencialidad, integridad, autenticación e irrenunciabilidad (no poder negar origen) de la información. Está compuesta por criptología (cifrar u ocultar los datos), Secuencia (estructura y tiempo de llegada de los datos) e identificación (autenticación y valides del emisor).

4.6. Las contraseñas o claves de acceso ¿Qué es una contraseña? Una contraseña es una clave que brinda acceso a algo que, sin dicho código, resulta inaccesible. Se trata de un método de autentificación que apela a los datos secretos necesarios para superar una barrera de seguridad. El origen de las contraseñas se remonta a la época en la cual había centinelas o guardianes custodiando determinados lugares. Cuando alguien se acercaba con la intención de ingresar a alguno de estos sitios, los centinelas le pedían una contraseña: se trataba de una palabra o de una frase que solamente conocían aquellos que tenían autorización para entrar. En la actualidad, las contraseñas son muy frecuentes en el ámbito de la tecnología y la electrónica. En estos casos, las claves –también conocidas con el término inglés password– permiten proteger la información personal almacenada en sistemas digitales. Aunque actualmente existen otras formas más seguras de control tecnológico de la seguridad para acceder a ciertos entornos – como la huella digital, iris de los ojos, voz, aliento, ADN, rostro, y hasta la forma de caminar de los individuos- el uso de claves y contraseñas vienen siendo de mayor difusión en el mundo digital y es por ello que vamos a darle mayor énfasis en su seguridad. Protección de la contraseña El uso de Internet en smartphones, tablets, computadoras portátiles y otros dispositivos o equipos de cómputo facilita la comunicación entre las personas y acelera la toma de decisiones de todo tipo. Esta facilidad y la disminución del tiempo en las comunicaciones traen consigo el riesgo de exponerse o perder información personal si es que no se conocen o aplican medidas preventivas o correctivas para resguardar y proteger su información cuando utilizan cualquiera de los medios tecnológicos existentes. En la Universidad Andina del Cusco (UAC), el personal administrativo, docente, autoridades, estudiantes, y otros, utilizan el sistema informático integrado llamado ERP University (software que integrada los diferentes procesos académicos y administrativos de las áreas de la UAC). Para acceder a este sistema, los estudiantes cuentan con un Usuario y Contraseña, así, estos pueden acceder a sus datos personales, registros de notas, horarios de clases, control de pago de pensiones, control de asistencia a clases y otros. Sin embargo, si otra persona llega a conocer su contraseña y accede a sus datos de manera mal intencionada o no, entonces la información perdería su integridad, disponibilidad y confidencialidad. Por este motivo, usted debe preservar su contraseña o clave para que otras personas no la conozcan, por lo tanto, es necesario que usted trate de seguir las siguientes: Contraseña segura Una de las primeras líneas de defensa que tenemos es nuestra contraseña, ya que estas son usadas para Página 2 de 7


acceder a nuestro mundo digital (desde nuestros correos electrónicos, redes sociales, sistemas financieros, dispositivos móviles, etc). Es por ello que resulta muy importante tener en cuenta que nuestra contraseña ha de ser segura para que podamos evitar que sea vulnerada. Entre los consejos que tenemos para la creación de contraseñas seguras se encuentran los siguientes: Consejos para crear una contraseña  Longitud: la contraseña de preferencia ha de ser no menor a 10 caracteres, esto se hace con el fin de dificultar descifrarla.  Complejidad: de preferencia la contraseña no sólo debe contener caracteres alfanuméricos, sino que debe ser “condimentada” con mayúsculas, caracteres especiales como guiones, símbolos matemáticos, etc.  Palabras: de preferencia no usar palabras que puedan encontrarse en diccionarios o que sean un conjunto de expresiones. Cualquier secuencia fácil de conseguir como: qwerty, 123456789, qazxsw etc.;  Información personal: datos personales: nombre y apellidos, direcciones, números de pasaporte, números de seguridad social, etc. o el nombre de un familiar o amigo (recuerda que los tienes publicados en redes sociales) o alguna otra información que sepas que puede ser accedida por algún medio;  No al reciclaje; Se recomienda no reutilizar las contraseñas que se utilizan para ejecutar otros programas (correos electrónicos, bases de datos, redes sociales, banco, etc). Una estrategia interesante para la creación de contraseñas seguras se encuentra alojada en la Web de la Universidad Nacional Autónoma de México. Recomendaciones de uso de contraseñas:  Tenga cuidado al introducir su usuario y contraseña en computadoras o dispositivos de lugares públicos o de otras personas, así como, en cualquier aplicación o sistema informático que no conozca, y también, asegúrese que otra persona no vea su contraseña.  Cambie regularmente cada 6 meses su contraseña.  Cuando use un sistema informático con usuario y contraseña, cierre cualquier ventana en donde le sugieran guardar la contraseña en el equipo.  No olvide cerrar la sesión de las aplicaciones o de los diferentes servicios o plataformas a los que usted accede con su usuario y contraseña por el Internet como: ERP University, Skype, Hotmail, Google, y otros.  No proporcione contraseñas en lugares o espacios que no correspondan a los sistemas o servicios, por ej. Abrir correos que pidan actualizar tu contraseña, o que traigan ofertas o regalos que vienen a ser en lo general estafas para robar datos a los usuarios.

4.7. Actores que amenazan la seguridad i) Virus Informático o malware (M. Rivero, 2011) Los Virus Informáticos son sencillamente programas maliciosos (malwares) que “infectan” a otros archivos del sistema, de una computadora o un dispositivo, con la intención de modificarlo o dañarlo. Estos pueden ser creados por hackers o crackers. Dicha infección consiste en incrustar su código malicioso en el interior del archivo “víctima” (normalmente un ejecutable o programa) de forma que a partir de ese momento dicho ejecutable pasa a ser portador del virus y, por tanto, una nueva fuente de infección. Su nombre lo adoptan de la similitud que tienen con los virus biológicos que afectan a los humanos, donde los antibióticos en este caso serían los programas Antivirus. Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad como los del tipo Gusano informático (Worm), son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma, robar, modificar, borrar información y hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. ¿Como funciona un virus informático? Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del Página 3 de 7


usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aún cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables (.exe., .com, .scr, etc) que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa. ¿Como llegan los virus hasta mi sistema y mis dispositivos de cómputo? Llegan a través de:  Instalación de aplicaciones infectadas  Redes Sociales.  Sitios webs fraudulentos.  Redes P2P (descargas con regalo)  Dispositivos USB/CDs/DVDs infectados.  Sitios webs legítimos pero infectados.  Adjuntos en Correos no solicitados (Spam) Este link de Panda Antivirus te ofrece un guía que describe los pasos para proteger una PC y este otro link de AVG antivirus, para proteger y optimizar un celular Android. ii) Hacker Un hacker se define, originalmente, como una persona amante de los ordenadores con altos conocimientos en una o más áreas de la informática, especialmente en seguridad y programación. Es un usuario con conocimientos avanzados en el funcionamiento interno de los ordenadores y redes informáticas. Estos usuarios suelen obsesionarse con la seguridad, y tratan de averiguar las formas de acceder a una red cerrada para posteriormente arreglar ese error del sistema. También pueden desarrollar soluciones contra virus informáticos y programas, buscan capacitarse libremente sin ningún beneficio secundario u oculto que no sea la satisfacción personal. Se pueden dividir en los Hackers de Sombrero Blanco y los de sombrero negro, esto, dependiendo del bando (interno o externo de una organización) desde donde quieran operar. iii) Cracker Los crackers son personas con conocimientos (no siempre altos) de redes e informática que persiguen objetivos ilegales, como el robo de contraseñas, destrozar la seguridad de una red doméstica o esparcir un virus informático a un gran número de computadoras. Los crackers pueden hacer todo su trabajo buscando tanto recompensas económicas (sustracción de dinero de tarjetas de crédito, estafas online...) como el placer de pretender ser superiores o solo por morbo, su objetivo es solo la satisfacción personal, sin considerar los medios utilizados y las consecuencias de su mal accionar. iv) Diferencias entre Hackers y Crackers: Los términos hacker y cracker tienen significados similares pero diferentes hay una línea denominada ética que los separa. El primero apunta a aquella persona capaz de introducirse en sistemas informáticos ajenos, el segundo describe a aquel que lo hace con fines ilícitos. Así lo menciona el diccionario de María Moliner, que indica que un hacker es una “persona con sólidos conocimientos informáticos capaz de introducirse sin autorización en sistemas ajenos para manipularlos, obtener información, etc., o simplemente por diversión”. La palabra cracker, en cambio, se aplica a quien, además de tener la capacidad de entrar en sistemas ajenos, lo hace con fines delictivos, como describe el diccionario de Oxford. v) Otras denominaciones Lammer, quien suele carecer de conocimientos técnicos profundos, anuncia a medio mundo sus “capacidades” cree que ser un hacker es usar herramientas producidas por terceros sin conocer exactamente de lo que son capaces y suelen vanagloriarse de sus “logros”. En realidad, hace sólo uso de herramientas de terceros (hackers o crackers) con el fin de mostrar sus “habilidades”. Phreaker, se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los teléfonos móviles, han tenido que entrar también en el mundo de la informática y del procesamiento de datos. Newbie o "novato de red", es un individuo que sin proponérselo tropieza con una página de hacking Página 4 de 7


y descubre que en ella existen áreas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos. Y otras como, script kiddie o skid kiddie, tonto o descuidado, etc Este video te describe completa y amigablemente a todos estos actores que pueden amenazar la seguridad de información de las personas y las organizaciones. 4.8.

Protección de información en Redes Sociales Las redes sociales, tales como Facebook, Youtube, LinkedIn, Google+, Twitter o Instagram, son plataformas muy flexibles y abiertas al usuario, en el que juega un papel más activo y versátil, lo cual conlleva grandes beneficios, pero también riesgos mayores de vulneración de datos de los usuarios. Las redes sociales, como parte de su funcionamiento han venido elevando sus estándares de seguridad para acoplarse a las exigencias de las normas existentes sobre privacidad, control de la pornografía y fraude cibernético, entre otros aspectos. En todos los casos, el usuario que accede a una red se acoge a las políticas de cada plataforma y acepta la utilización de su información personal para los fines y usos que cada red establece. Sin embargo, la mayoría de los usuarios no son conscientes de la gran cantidad de datos personales que se entregan con la creación de un perfil o durante la interacción en la red, ni de los múltiples usos que hoy permite la tecnología. Aunque pueden ser utilizados como fuentes para construir conocimiento, también pueden ser utilizados con propósitos delictivos. Aquí en este link te dejamos algunos consejos para tu seguridad como joven en las redes sociales y un video acerca de la privacidad en Redes Sociales.

4.9. Phishing Es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta. Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es. El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir más formatos, pero en estos momentos solo mencionamos los más comunes: SMS (mensaje corto), llamada telefónica, página web o ventana emergente. Para evitar intrusiones en tu sistema, navegador, dispositivo móvil y de escritorio, es importante que siempre tengas instalado y actualizado un programa antivir us y aplicaciones antimalware.

Esta es una lista de 10 consejos básicos de seguridad informática que van desde los más simples y obvios, hasta lo más complejo para proteger tu información.

4.10. Navegación en Internet: modo incógnito El modo incógnito en los navegadores no sólo se puede usar para no dejar rastro de los sitios que visitas, dicho sea de paso, esto resulta útil si vas a ver páginas en internet sobre las que no deseas que los demás se enteren. El modo incógnito genera un nuevo “espacio” de trabajo del navegador, dicho espacio es borrado ni bien la ventana del modo incógnito es cerrada, además como se crea un nuevo espacio de trabajo, este se encuentra totalmente vacío. Las características del modo incógnito nos permiten, por ejemplo, no dejar registro de los lugares visitados, sino también, no dejar registro de quién eres, al iniciar sesión en algún sitio, o visitar ciertos sitios, se suelen “dejar huellas” a nivel de cookies, estas cookies son borradas ni bien cerramos el modo incógnito con lo que datos como los de inicio de Página 5 de 7


sesiones, búsquedas, registro de navegación, son completamente eliminados del computador, esto es perfecto si van a usar el computador de un tercero o un lugar público, puesto que no dejarían información sensible en dicha estación, terminal o dispositivo de cómputo. Figura 1. Captura modo incógnito

Fuente: Google Chrome – Modo incognito Este link te muestra los pasos para acceder al modo incognito de tu navegador (Chrome, Firefox, Internet Explorer, Safari)

ACTIVIDADES EN EL SALÓN: Actividad 1

V.

Con la información desarrollada en la guía, elabore un mapa conceptual del tema “Administración, seguridad y divulgación de la información en la nube” identificando los aspectos más importantes de la Guía.

Actividad 2 Construya una contraseña y explique qué técnicas o criterios a utilizado para volverla más segura de acuerdo a los pasos propuestos. Además, menciona cinco posibles riesgos de violación de la privacidad a través de las redes sociales y sus recomendaciones para evitarlos.

PRÓXIMA SESIÓN: Actividad 3 Elabore un cuadro comparativo mencionando las mayores diferencias entre los Hackers White hat y Black hat, y además, mencione a dos de los representantes más famosos de cada tipo de hacker y detalle sus “logros”.

Actividad 4 Haga un análisis y conclusión propia que resuma la Ley de Protección de Datos Personales del Perú. (Máximo en una hoja a espacio simple).

Recuerde que los archivos de las actividades 3 y 4 deberán ser subidos al aula virtual.

REFERENCIAS BIBLIOGRÁFICAS

VI.    

De la Calle, José Miguel. Las redes sociales y la protección de los datos personales. Recuperado de https://www.ambitojuridico.com/. Molero Delgado, Iván (2016). Seguridad Lógica de la Información. Cusco - UAC. Bernales Guzman, Yessenia (2017). Seguridad Lógica de la Información. Cusco - UAC Material Autoinformativo. Recuperado de http://www2.ual.es/ci2bual/comunicar-lainformacion/identidad-digital/

Página 6 de 7


(s.f.). Recuperado el 11 de 09 de 2016, de http://tecnologia.uncomo.com/articulo/como-crear-unacontrasena-segura-4599.html (s.f.). Recuperado el 11 de 09 de 2016, de http://ignaciosantiago.com/blog/como-crear-contrasena-segura/ (s.f.). Recuperado el 22 de 01 de 2017, de http://seguridad.internautas.org/html/451.html

  VII.

FICHAS DE EVALUACIÓN

Criterio de calificación

Muy bueno

Suficient e

Regular Malo / Puntaje Nulo obtenido

Actividad 1 Con la información desarrollada en la guía, elabora un mapa conceptual del tema “Administración, seguridad y divulgación de la información en la nube” identificando los aspectos más importantes. Actividad 2 Construye una contraseña y explique qué técnicas o criterios a utilizado para volverla más segura de acuerdo a los pasos propuestos. Menciona cinco posibles riesgos de violación de la privacidad a través de las redes sociales y sus recomendaciones para evitarlos. Actividad 3 Elaborar un cuadro comparativo mencionando las mayores diferencias entre los conceptos white hat y black hat. Y mencione a dos de los representantes más famosos de cada tipo de hacker y detalle sus “logros” Actividad 4 Realiza un análisis y conclusión propia que resume la Ley de Protección de Datos Personales del Perú. (Máximo en una hoja a espacio simple) Puntaje total

4

2

1

0

4

2

1

0

6

4

3

0

6

4

3

0

Página 7 de 7

Guia07 seguridad de la información  
Guia07 seguridad de la información  
Advertisement