GUÍA
DE ESTUDIO PARA 1ER. EXAMEN PARCIAL
1. Sistema Operativo
El sistema
operativo es el programa (o software) más importante de un ordenador. Para que funcionen
los otros programas, cada ordenador de uso general debe tener un sistema
operativo. Los sistemas operativos realizan tareas básicas, tales como
reconocimiento de la conexión del teclado, enviar la información a la pantalla,
no perder de vista archivos y directorios en el disco, y controlar los
dispositivos periféricos tales como impresoras, escáner, etc.
Además un Sistema Operativo es un programa
que actúa como intermediario entre el usuario y el hardware de una computadora
y su propósito es proporcionar un entorno en el cual el usuario pueda ejecutar
programas. El objetivo principal de un Sistema Operativo es, entonces, lograr
que el Sistema de computación se use de manera cómoda, y el objetivo secundario
es que el hardware del computador se emplee de manera eficiente.
2. Funciones del Sistema Operativo
Un sistema operativo, en general, está compuesto por un conjunto de
programas que, según la función que realizan, se pueden clasificar como se
indica en el siguiente esquema: Gestión del procesador Gestión de la memoria
Programas de control Gestión de E/S Gestión de datos S.O Gestión del sistema
Programas de proceso Traductores Programas de servicio
La siguiente figura nos muestra un diagrama a bloques del sistema
operativo y los elementos con que interactúa:
Programas de Control
Programas de Proceso
3. Proceso Informático de una
Computadora (procesamiento de la información)
Es el proceso que siguen los datos o información en cualquier
computadora en las que el usuario es el primero en ingresar dicha información y
quien también la recibe al final
En la siguiente imagen se ilustra este proceso.
4. Diferentes Sistemas Operativos
Existen varios Sistemas Operativos tanto para PC como para
dispositivos móviles; algunos son muy fáciles de usar, otros no tanto. Los
Sistemas Operativos más populares para PCs y para teléfonos inteligentes.
Sistemas Operativos para PC
1.- Windows.- El sistema operativo más usado en el Mundo.
2.- Linux.- Se puede instalar en casi cualquier plataforma, incluso
algunas que se consideran cerradas, es el favorito de muchos por la solidez, confiabilidad y seguridad que
ofrece a los usuarios, y sobre todo porque es gratis, de aquí parten muchos
Sistemas Operativos basados en Linux incluyendo Android que es para Móviles,
para PCs la distribución más popular es UBUNTU.
3.- MacOS.- Es el sistema operativo de Apple, fácil de usar muy sólido
y seguro.
4.- Unix.- Es un sistema sólido, seguro y confiable, por lo que es muy
usado en servidores de internet y en centros de data.
5.- BSD.- Distribución que se deriva de Unix, con la misma solidez,
confiabilidad y seguridad de su ancestro.
Sistemas Operativos para móviles
1.- Android.- Android es un sistema operativo móvil basado en Linux,
2.- iOS.- iOS (anteriormente denominado iPhone OS) es un sistema
operativo móvil de Apple.
3.- Windows Phone.- Windows Phone es un sistema operativo móvil
desarrollado por Microsoft.
4.- Symbian OS.- Symbian es un sistema operativo que fue producto de
la alianza de varias empresas de telefonía móvil.
5.- BlackBerry OS.- El BlackBerry OS es un sistema operativo móvil
desarrollado por Research In Motion para sus dispositivos BlackBerry. El
sistema permite multitarea y tiene soporte para diferentes métodos de entrada
adoptados por RIM para su uso en computadoras de mano, particularmente la
trackwheel, trackball, touchpad y pantallas táctiles.
5. Seguridad Informática
La seguridad informática, también conocida
como ciberseguridad, son todas las prácticas que se llevan a cabo con el fin de
proteger y resguardar el funcionamiento y la información de un sistema de
computación.
Sin embargo, ningún sistema de seguridad es totalmente seguro, siempre
tenemos que tener claro que un sistema es menos vulnerable. Y que debemos tener
en cuenta las causas de riesgos, y probabilidad que ocurran fallas. Una vez con
esta información clara tenemos que tomar las medidas de seguridad oportunas
para lograr un sistema menos vulnerable.
6. CIA
Principios de la seguridad de la información
Cuando hablamos de seguridad en la información entramos directamente a
conocer el termino CIA, en español; (“Confidencialidad, Integridad,
Disponibilidad”), los cuales son los principios básicos de la seguridad de la
información. Sin esos tres elementos no hay nada seguro,
con el solo hecho que falle algunos de esos componentes estamos ante un latente
peligro en la seguridad de nuestra información.
Confidencialidad
Se conoce la confidencialidad como la forma de prevenir la divulgación
de la información a personas o sistemas no autorizados.
Tomemos un ejemplo: Cuando hacemos una compra por internet con nuestra
tarjeta de crédito, los datos de nuestra tarjeta (Número de identificación de
la tarjeta y código de seguridad) viajan a través de la red por medio de un
sistema cifrado el cual se comunica con el emisor de nuestra tarjeta y con el
comerciante al cual le estamos haciendo la compra, si al hacer este proceso una
parte no autorizada obtiene estos datos de una forma fraudulenta, entonces allí
se ha producido una divulgación de la información y se ha perdido la
confidencialidad.
Pero no solo la perdida de la confidencialidad se da en los sistemas
de información, el solo hecho de que una persona mire encima de su hombro para
ver que hacemos en la pantalla de nuestro celular o netbook, cuando un equipo
de cómputo es robado de una empresa, cuando información sensible es divulgada
por cualquier medio sea digital o no.
Integridad
Hablar de integridad en Seguridad de la información, es hablar de cómo
los datos se mantienen intactos libres de modificaciones o alteraciones por
terceros (Personas no autorizadas), cuando una violación modifica datos en una
base de datos de información, se sea por accidente o mala intención se pierde
la integridad, y por ende falla el proceso.
Para esto debemos proteger la información de una manera que solo pueda
ser modificada por la misma persona, o por personal autorizado, evitando así
perder la integridad. Una forma de proteger los datos es cifrando la
información mediante un método de autenticidad como una contraseña segura o la autenticación por
medio de una huella digital, este último es de los medios más seguros que
existen en la actualidad.
Disponibilidad
Es otro de los pilares fundamentales de la seguridad de la
información, nada hacemos teniendo segura e integra nuestra información, si no
va estar disponible cuando el usuario o un sistema necesite consultar la
información.
Para cumplir esta última condición debemos tener muy claro que flujo
de datos vamos a manejar, para saber dónde almacenar dicha información, que
tipo de servicio debemos contratar, un servidor local, un servidor externo con
varios clúster. Esto último depende de la cantidad de información que
manejemos.
7. Funciones asociadas para tener
una buena Seguridad Informática.
La Seguridad Informática comprende además un grupo de funciones
asociadas que pueden expresarse de la forma siguiente:
• Regulación: Consiste en la capacidad de
establecer las normas, preceptos, reglamentos y otro tipo de medidas jurídicas
que garanticen las bases para lograr un nivel de seguridad adecuado.
• Prevención: Las acciones que se
realizan con el fin de minimizar los riesgos contra los activos informáticos.
• Detección: Conocimiento de la
materialización de una amenaza contra los activos informáticos.
• Enfrentamiento: Acciones de respuesta a
un hecho detectado contra los activos informáticos.
8. Elementos que integran un
Sistema Informático, para darle seguridad.
Para analizar la seguridad de un sistema se debe pensar en la forma en
que el mismo pudiera sufrir determinada pérdida o daño, para lo cual es
necesario identificar las debilidades del sistema.
La seguridad informática tiene como objetivo principal proteger los
activos que están asociados directamente con los elementos que integran un
sistema informático. Para lograr un ambiente informático más seguro se puede
decir que los elementos que integran un sistema informático son: Información, Tecnologías de información,
Personas o Usuarios e Inmuebles.
Información
La información son datos o conocimientos. Por el valor que ésta
representa para el desarrollo económico, científico, técnico, social, político
y administrativo, es tratada a los efectos de la protección, como un bien o patrimonio. Por tanto constituye el elemento
principal a proteger en un Sistema Informático.
Tecnologías de información
Las tecnologías informáticas y
de comunicaciones se han convertido en medios indispensables para el
procesamiento, conservación, reproducción y transmisión de información.
Entre estas tecnologías podemos mencionar los medios técnicos de
computación, soportes magnéticos, ópticos, software y aplicaciones modernas,
protocolos de transmisión de datos, utilización de cable coaxial, enlaces por
fibra óptica y transmisiones por satélites y otras.
Personas o Usuarios
El hombre es el factor principal en un sistema informático, él lo
diseña, lo pone en práctica, lo explota y lo mantiene, tanto desde el punto de
vista tecnológico como informativo.
Participa activamente en el ciclo de vida de la información, ya que la
genera y destruye, pasando por su actualización, almacenamiento, transmisión y
reproducción, según los distintos procesos por los cuales puede transitar. Es
un elemento susceptible a las influencias, tanto positivas como negativas del
mundo circundante, que puede provocar reacciones muy disímiles ante situaciones
dadas; de ahí que constituya un objetivo de trabajo de todos aquellos que
pretendan desestabilizar el buen funcionamiento del sistema informático en
sentido general.
Por eso debemos estar conscientes que inducido o fortuitamente el
hombre ante causas y condiciones que lo propicien se convierte en la principal
amenaza de un sistema informático, al estar en capacidad de desencadenar
acciones riesgosas contra el mismo.
De la misma forma si es capaz de concientizar su responsabilidad
dentro del sistema de medidas de Seguridad Informática, hará de este una coraza
infranqueable en la defensa de la confidencialidad, integridad y disponibilidad
de la información y la adecuada utilización de las tecnologías informáticas y
de comunicaciones.
Inmuebles
El inmueble como estructura arquitectónica constituye la primera
barrera de contención contra intrusos, y el control de la circulación interna
del personal contra la captación de emisiones electromagnéticas, los posibles
desastres naturales, incendios fortuitos u otros accidentes intencionales o no
y forma parte del sistema de protección a profundidad dentro de un sistema
informático.
Evaluar sus condiciones constructivas, estado de la red eléctrica,
ubicación y vías de acceso, entre otros aspectos, puede ayudar a minimizar las
amenazas y riesgos a los que se expone el sistema informático.
9. Incidente de Seguridad
Se considera un incidente de seguridad a:
1. Un evento adverso
en un entorno informático, que puede comprometer o compromete la
confidencialidad, integridad o disponibilidad de la información.
2. Una violación o
inminente amenaza de violación de una política de seguridad de la información.
1 Análisis de riesgos
El Análisis de riesgos es el proceso sistemático para estimar la
magnitud de los riesgos a que está expuesta una Organización.
Elementos de un análisis de
riesgo
Cuando se pretende diseñar una técnica para implementar un análisis de
riesgo informático se pueden tomar los siguientes puntos como referencia a
seguir:
1. Construir un perfil
de las amenazas que esté basado en los activos de la organización.
2. Identificación de
los activos de la organización.
3. Identificar las
amenazas de cada uno de los activos listados.
4. Conocer las
prácticas actuales de seguridad.
5. Identificar las
vulnerabilidades de la organización. Recursos humanos, Recursos técnicos,
Recursos financieros
6. Identificar los
requerimientos de seguridad de la organización.
7. Identificación de
las vulnerabilidades dentro de la infraestructura tecnológica.
8. Detección de los
componentes claves
9. Desarrollar planes
y estrategias de seguridad informática.
9 Etapas para realizar un análisis
de riesgo
A continuación veremos de forma sencilla las principales tareas del
análisis de riesgos. Cabe señalar que las fases o etapas que componen un
análisis de riesgos dependen de la metodología escogida. En el caso que nos
ocupa, hemos seleccionado un conjunto de fases que son comunes en la mayor
parte de las metodologías para el análisis de riesgos.
Fase 1. Definir el alcance
Establecer el alcance del estudio, por ejemplo, análisis de riesgos
sobre los procesos del departamento Administración, la página web de la empresa, etc.
Fase 2. Identificar los activos
Debemos identificar los activos más importantes que guardan relación
con el departamento, proceso, o sistema objeto del estudio. Para mantener un
inventario de activos sencillo puede ser suficiente con hacer uso de una hoja
de cálculo o tabla como la que se muestra a continuación a modo de ejemplo:
Fase 3. Identificar / seleccionar las amenazas
Identificar las amenazas a las que estos están expuestos. El conjunto
de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en
mantener un enfoque práctico y aplicado.
Fase 4. Identificar vulnerabilidades y salvaguardas
La siguiente fase consiste en estudiar las características de nuestros
activos para identificar puntos débiles o vulnerabilidades. Posteriormente, a
la hora de evaluar el riesgo aplicaremos penalizaciones para reflejar las
vulnerabilidades identificadas.
Por otra parte, también analizaremos y documentaremos las medidas de
seguridad implantadas en nuestra organización.
Fase 5. Evaluar el riesgo
Llegado a este punto disponemos de los siguientes elementos:
• Inventario de
activos.
• Conjunto de
amenazas a las que está expuesta cada activo.
• Conjunto de
vulnerabilidades asociadas a cada activo (si corresponde).
• Conjunto de medidas
de seguridad implantadas
Con esta información, nos encontramos en condiciones de calcular el
riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de que la
amenaza se materialice y el impacto sobre el negocio que esto produciría. El
cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como
cualitativos.
Fase 6. Tratar el riesgo
Una vez calculado el riesgo, debemos tratar aquellos riesgos que
superen un límite que nosotros mismos hayamos establecido.
A la hora de tratar el riesgo, existen cuatro estrategias principales:
• Transferir el
riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a
terceros ocasionados por fugas de información.
• Eliminar el riesgo.
Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo
elevado.
• Asumir el riesgo,
siempre justificadamente. Por ejemplo, el coste de instalar un grupo
electrógeno puede ser demasiado alto y por tanto, la organización puede optar
por asumir.
• Implantar medidas
para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para
poder acceder a los servicios en la nube en caso de que la línea principal haya
caído.
9 Glosario de términos
relacionados con la seguridad informática:
Virus: Los virus son programas
informáticos que tienen como objetivo alterar el funcionamiento del computador,
sin que el usuario se de cuenta. Estos, por lo general, infectan otros archivos
del sistema con la intensión de modificarlos para destruir de manera
intencionada archivos o datos almacenados en tu computador.
Activo: recurso del sistema de
información o relacionado con este, necesario para que la organización funcione
correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que puede desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en sus
activos.
Ataque: evento, exitoso o no, que
atenta sobre el buen funcionamiento del sistema.
Control: es una acción, dispositivo o procedimiento que elimina o
reduce una vulnerabilidad.
Impacto: medir la consecuencia al
materializarse una amenaza.
Riesgo: Es la probabilidad de que
suceda la amenaza o evento no deseado
Vulnerabilidad: Son aspectos que influyen
negativamente en un activo y que posibilita la materialización de una amenaza.
Desastre o Contingencia: interrupción de la capacidad de acceso a
información y procesamiento de la misma a través de computadoras necesarias
para la operación normal de un negocio.
Aunque a simple vista se puede entender que un Riesgo y una
Vulnerabilidad se podrían englobar un mismo concepto, una definición más
informal denota la diferencia entre riesgo y vulnerabilidad, de modo que la
Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto.
Se puede describir la relación entre vulnerabilidad, amenaza y control
de la siguiente manera: una amenaza puede ser bloqueada aplicando un control a
una vulnerabilidad.
Fuentes de Información
https://www.gcfaprendelibre.org/tecnologia/curso/virus_informaticos_y_antivirus.do
