Ensayo sobre Seguridad Web

INSTITUTO POLITÉCNICO NACIONAL
CENTRO DE ESTUDIOS CIENTÍFICOS Y TECNOLÓGICOS
“JUAN DE DIOS BATIZ” NO.9

MATERIA: SEGURIDAD WEB
PROFESOR: CRUZ MENDOZA JUAN MANUEL
ALUMNA: SOSA ESTRADA MARÍA FERNANDA
GRUPO 5IM6
ENSAYO SOBRE SEGURIDAD INFORMATICA

FECHA DE ENTREGA: 20 AGOSTO 2017



SEGURIDAD INFORMÁTICA

Introducción

En este ensayo hablaremos del tema de seguridad informática, el cual, como estudiante de la carrera en Programación, considero que es un tema de suma importancia aprender, ya que es indispensable para desarrollar aplicaciones de calidad, que sean seguras y confiables para los usuarios.

Debemos hacer hincapié en que aprender seguridad informática, no significa precisamente aprender a atacar programas o sistemas ni tampoco es sobre escapar de algún agravio. Mas bien se trata de saber como defendernos de un ataque, tal como lo dice Sun Tzu, en “El arte de la guerra”:
“El arte de la guerra nos enseña a confiar, no en la posibilidad de que el enemigo no venga, si no en nuestra propia disponibilidad para recibirlo; no es la oportunidad de que no ataquen, sino en el hecho de que hemos logrado que nuestra posición sea inexpugnable.” - Sun Tzu “El arte de la guerra”


Resultado de imagen para imagen seguridad informatica


A continuación, definiremos los conceptos más importantes de la seguridad informática para entender más del tema.

Seguridad Informática

El Diccionario de la Real Academia Española, nos dice que la seguridad es “ Lo que no falla o que ofrece confianza.” Mientras que informática se define como “Conjunto de conocimientos técnicos que se ocupan del tratamiento automático de la información por medio de computadoras.”.

Por lo tanto, definimos a la seguridad informática como una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. Cabe decir que no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.

Amenazas

Siempre van a existir amenazas a nuestros programas o sistemas. Una amenaza es todo elemento o acción capaz de atentar contra la seguridad de la información.

También se define como toda circunstancia, evento o persona que tiene el potencial de causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos o negación de servicio

Las amenazas surgen a partir de la existencia de vulnerabilidades que puedan ser aprovechadas, e independientemente de que se comprometa o no la seguridad de un sistema de información.

Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas de ingeniería social, la falta de capacitación y concientización a los usuarios en el uso de la tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado en los últimos años el aumento de amenazas intencionales.  

Ataques

Un ataque es un evento exitoso o no, que atenta sobre el buen funcionamiento del sistema.

  • Ataques activos:
Los ataques  activos implican algún tipo de modificación del flujo de datos transmitido –modificación de la corriente de datos- o la creación de un falso flujo de datos –creación de una corriente falsa-.

Los ataque activos pueden clasificarse de la siguiente manera:

Enmascaramiento o suplantación de identidad
El intruso se hace pasar por una entidad diferente.
Ejemplo. Cuando una persona ajena al equipo de trabajo del desarrollo de un software se hace pasar por un integrante legítimo para obtener información valiosa de la aplicación.

Réplica o reptición
Uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado debido a que realiza una retransmisión subsecuente.
Ejemplo. Al tener información valiosa de un programa, la persona que obtuvo esta información la comparte con colegas y amigos para copiar las ideas que robo.

Modificación de mensajes
Una porción del mensaje legítimo es alterada, o los mismos mensajes son retardados o reordenados, esto provoca que se produzca un efecto no autorizado.
Ejemplo. Esto ocurre cuando alguien toma las ideas de una empresa y las alteras cambiando el nombre del programa a desarrollar, el nombre de la empresa, las ideas secundarias, etc. y publicandolo como propio.

Interrupción de Servicio
La persona que logra acceder al sistema, logra que este quede inactivo.
Ejemplo. Cuando un hacker accede a un servidor, por ejemplo, el SAES y logra desconectarlo de la red, por lo que todos los alumnos de la escuela, no podremos contar con este programa.

  • Ataques pasivos:
Los ataques pasivos reciben su nombre debido a que el atacante (o perpetrador u oponente) no altera en ningún momento la información, es decir, únicamente la observa, escucha, obtiene o monitorea mientras está siendo transmitida.

Los ataques activos pueden clasificarse de la siguiente manera:

Intercepción de datos
Consiste en el conocimiento de la información cuando existe una liberación de los contenidos del mensaje.
Ejemplo. Cuando alguna persona logra acceder a la base de datos de un programa y puede contar con esta información.

 Análisis de tráfico
Consiste en la observación de todo tráfico que pasa por la red.
Ejemplo. Esto podría pasar cuando un hacker solo se sienta a observar toda la información que se envía un lado a otro, por ejemplo, los mensajes de Facebook.

Mecanismos de Seguridad

Los mecanismos de seguridad son también llamadas herramientas de seguridad y son todos aquellos que permiten la protección de los bienes y servicios informáticos. Estos mecanismos pueden ser algún dispositivo o herramienta física que permita resguardar un bien, un software o sistema que de igual  manera ayude de algún modo a proteger un activo.

Los mecanismos también reciben el nombre de controles ya que dentro de sus funciones se encuentran el indicar la manera en que se deben ejecutar las acciones que permitan resguardar la seguridad y se eviten vulnerabilidades en la misma.
Finalmente los mecanismos pueden clasificarse de acuerdo con el objetivo principal de los mismos en:

  • Mecanismos preventivos.
Como su nombre lo dice, son aquellos cuya finalidad consiste en prevenir la ocurrencia de un ataque informático. Básicamente se concentran en el monitoreo de la información y de los bienes, registro de las actividades que se realizan en la organización y control de todos los activos y de quienes acceden a ellos.

  • Mecanismos detectores.
Son aquellos que tienen como objetivo detectar todo aquello que pueda ser una amenaza para los bienes. Ejemplos de éstos son las personas y equipos de monitoreo, quienes pueden detectar cualquier intruso u anomalía en la organización.

  • Mecanismos correctivos.
Los mecanismos correctivos se encargan de reparar los errores cometidos o daños causados una vez que se ha cometido un ataque, o en otras palabras, modifican el estado del sistema de modo que vuelva a su estado original y adecuado.

  • Mecanismos disuasivos.
Se encargan de desalentar a los perpetradores de que cometan su ataque para minimizar los daños que puedan tener los bienes.

También, los mecanismos de seguridad pueden clasificarse de acuerdo con la importancia que poseen en mecanismos requeridos o mecanismos discrecionales.

Los mecanismos requeridos, son los controles mínimos que se requieren para implementar un servicio de seguridad y los mecanismos discrecionales, también llamados específicos, son los que se implementan de acuerdo con la experiencia de alguien, es decir ya son conocidos por una persona y de acuerdo con los resultados obtenidos con la implementación de ellos, es que se utilizan o no.


Mecanismos de Seguridad vs. Ataques

Ataques

Servicio



Análisis de tráfico

Obtención del contenido del mensaje
Suplantación
Repetición

Modificación de mensajes

Interrup­ción de servicio
Autenticación de las entidades de origen/destino


X



Autenticacion del origen de datos


X



Control de acceso


X



Confidencialidad
X





Confidencialidad del flujo de tráfico

X




Integridad de los datos



X
X

No repudio






Disponibilidad





X

Conclusiones

Yo opino que la seguridad informática es un tema muy importante e interesante para toda la sociedad, no solo para los que estudiamos programación o informática. De hecho sería bueno que todos tuvieramos conocimiento de ello, porque asi sabriamos como funcionan los sistemas que utilizamos dia con dia, los programas anti-virus de las computadoras o el proceso de un cajero cuando se hace una transacción del banco.

La seguridad informática está con nosotros día con día y es de suma importancia su estudio.

Bibliografía

  • FUNDAMENTOS DE SEGURIDAD EN REDES APLICACIONES Y ESTÁNDARES Segunda edición
  • http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
  • Diccionario de la Real Academia Española
  • http://redyseguridad.fi-p.unam.mx/proyectos/buenaspracticas/mecanismos%20de%20seguridad.html
  • https://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad
  • http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/AtaqPasivo.php

Comentarios

Publicar un comentario

Entradas más populares de este blog

Ensayo sobre Cifrado

Imagen
INSTITUTO POLITÉCNICO NACIONAL CENTRO DE ESTUDIOS CIENTÍFICOS Y TECNOLÓGICOS “JUAN DE DIOS BATIZ” NO.9    MATERIA: SEGURIDAD WEB Y APLICACIONES PROFESOR: CRUZ MENDOZA JUAN MANUEL ALUMNA : SOSA ESTRADA MARÍA FERNANDA GRUPO 5IM6 ENSAYO SOBRE CIFRADO FECHA DE ENTREGA: 9 DE SEPTIEMBRE DEL 2017 Introducción ¿Por qué cifrar? Desde que el hombre ha necesitado comunicarse con los demás ha tenido la necesidad de que algunos de sus mensajes solo fueran conocidos por las personas a quien estaban destinados. La necesidad de poder enviar mensajes de forma que solo fueran entendidos por los destinatarios hizo que se crearan sistemas de cifrado, de forma que un mensaje después de un proceso de transformación, lo que llamamos cifrado, solo pudiera ser leído siguiendo un proceso de descifrado. Para sacar el máximo partido a una información hay que compartirla. Para ello el autor del documento, que es el emisor, debe transferirla a un soporte f...
Leer más

Conclusiones Scrum

Imagen
 Instituto Politécnico Nacional CECyT No. 9 “Juan de Dios Bátiz” Materia: Métodos Ágiles de Programación Profesor: Juan Manuel Cruz  Grupo: 6IM6 Alumna: Sosa Estrada María Fernanda METODOLOGÍA SCRUM Conclusiones Scrum es un método ágil sencillo, muy útil y de los más usados cuando se trata de proyectos que se deben de hacer de forma rápida y eficiente. Este método tiene muchas condiciones para que funcione, por ejemplo, trabajar en equipo y llevar un orden en la realización de los spring y las reuniones, aún así, pienso que Scrum es uno de los mejores métodos y que si se emplea de forma correcta puede tener resultados positivos.  El trabajar en equipo puede unir o perjudicar a diferentes equipos de trabajo, por lo que es necesario investigar a conciencia las características de esta metodología antes de aplicarla.  En mi opinión, Scrum es la mejor metodología dentro de los métodos ágiles de programación, porque a diferencia de XP, tiene un...
Leer más

Ensayo HASH

Imagen
INSTITUTO POLITÉCNICO NACIONAL CENTRO DE ESTUDIOS CIENTIFICOS Y TECNOLOGICOS “JUAN DE DIOS BATIZ PAREDES” GRUPO : 5IM6 MATERIA: SEGURIDAD WEB PROFESOR: JUAN MANUEL FECHA DE ENTREGA: 12 DE NOVIEMBRE DEL 2017 ENSAYO HASH FUNCIONES Y TABLAS HASH Introducción Una de las aplicaciones más interesantes de la actual criptografía es la posibilidad real de añadir en un mensaje una firma digital: La autenticación completa. Todo esto comienza en el año 1976 cuando Diffie y Hellman presentan un modelo de cifrado asimétrico con clave pública, con los antiguos sistemas de cifra de clave simétrica esto era inviable o bien muy complejo. No obstante dado que los sistemas de clave pública son muy lentos en vez de firmar digitalmente el mensaje completo, en un sistema criptográfico se incluirá como firma digital una operación de cifra con la clave privada del emisor sobre un resumen o hash de dicho mensaje representado por sólo una centena de bits. ...
Leer más