Seguridad y Crimen Informático Flashcards
Seguridad de la tecnologías de la información
una ____ es toda ocurrencia potencial de un evento, sea o no maliciosa, que pueda tener un efecto indeseable en el individuo afectado.
amenaza
Seguridad de la tecnologías de la información
las ____ potencian que un ataque se concrete
vulnerabilidades
Vulnerabilidades de componentes de TI
liste vulnerabilidades en clientes
- acceso sin autorización
- Errores
Vulnerabilidades de componentes de TI
liste vulnerabilidades en líneas de comunicación
- Intervención
- Sniffing
- Alteración de mensajes
- Robo y fraude
- Radiación
Vulnerabilidades de componentes de TI
liste vulnerabilidades en servidores corporativos
- Piratería informática
- virus y gusanos
- robo y fraude
- vandalismo
- ataques de negación de servicios
Vulnerabilidades de componentes de TI
liste vulnerabilidades en sistemas corporativos
- Robo de datos
- copia de datos
- alteración de datos
- falla de hardware
- falla de software
¿qué se entiende por seguridad de TI?
Conjunto de políticas, procedimientos y medidas técnicas que se utilizan para evitar el acceso sin autorizacción, la alteración, el robo o daño físico a los sistemas de información
¿qué son controles de seguridad?
son métodos y procedimientos que garantizan la seguridad de los activos, la precisión y confiabilidad de la información y la integración con los estándares gerenciales.
Atributos de la seguridad de la información
Aseguramiento de que no se deniega un acceso o servicio a usuarios debidamente autorizados
Disponibilidad
Atributos de la seguridad de la información
ausencia de revelación no autorizada de datos
Confidencialidad
Atributos de la seguridad de la información
ausencia de alteraciones no autorizadas
Integridad
Atributos de la seguridad de la información
integridad de la persona que ha realizado una operación en el sistema, altere o no su estado inicial
Responsabilidad
Atributos de la seguridad de la información
Integridad del contenido y origen de un mensaje, así como de los metadatos relacionados
Autenticidad
Atributos de la seguridad de la información
Integridad de la identidad de la persona emisora de un mensaje o de quien lo recibe, de modo que no niegue haberlo enviado o recibido
No repudio
Cibercrimenes
un ____ es aquella acción típica antijurídica y culpable realizada por medios informáticos o cuya acción busque modificar los datos en un dispositivo informático
crimen informático
Cibercrimenes-clasificación
cuando las conductas criminales se valen de las computadoras como método, medio o símbolo en la realización del ilícito
como instrumento o medio
Cibercrimenes-clasificación
Enmarca conductas criminales dirigidas contra equipo informático o software, siendo que el autor obtiene beneficio perjudicando a un tercero
como fin u objetivo
Cibercrimenes-actores involucrados
es el perpetrador, llamado comúnmente cracker o hacker
sujeto activo
Cibercrimenes-actores involucrados
Diferencia entre hacker y cracker
hacker solo intenta obtener acceso sin autorización a un sistema computaciona, el cracker tiene intenciones cirminales
Cibercrimenes-actores involucrados
persona o entidad sobre la que recae la conducta realizada por el sujeto activo
Sujeto pasivo
Actividades de la ciberdelicuencia organizada
- espionaje
- obtención de datos personales
- fraudes
- extorsiones
- pornografía infantil
- programas informáticos maliciosos
tipo de crimines infomáticos
Ocultamiento de identidad utilizada por atacantes, mediante el uso de direcciones o redireccionamientos falsos
suplantación/spoofing
tipos de crimines informáticos
Programas que monitorean la información que viaja a traves de la red
Escudriño/sniffing
tipos de crimines informáticos
inundación de los servidores con comunicaciones o solicitudes de servicios falsas que provocan fallas en la red
Denegación de servicio
tipos de crimines informáticos
Mediante tácticas como phishing, gemelos malvados o pharming, los hacker obtienen ciertas claves de información personal que les permite hacerse pasar por otra persona
Robo de indentidad
tipos de crimines informáticos
Hacer clics de manera fraudulenta en un anuncio en línea, sin intención de aprende más sobre el anunciante sino para debilitar a la competencias
Fraude del clic
Otras acciones fraudulentas
Delicuentes obtienen información de tarjetas y medios de pago por intrusiones en sitios web o en los medios de transmisión
sabotaje (por alguna razón sabotaje)
Otras acciones fraudulentas
Utilizar imágenes audios y vídeos para crear “escenarios” ficticios
Manipulación digital / deepfakes
Otras acciones fraudulentas
productos falsos o ilegales de “fácil” adquisición a través de internet
Estafas en línea
dos amenazas internas son
- Trabajadore internos
- vulnerabilidades en el software
el ____ consiste en ralizar ataques cibernéticos con motivos políticos o para relizar sabotaje y/o espionaje, usualmente a nivel país más que empresarial.
incluyre guerra informática
ciberterrorismo
Legislación costarricense
Cuando una persona tiene obligación de responder, resarcir o indemnizar a otro por un daño, sea o no culpable o negligente del mismo
Una responsabilidad indiferente del sujeto
Responsabilidad objetiva
Legislación costarricense
Cuando una persona ha ocasionado un daño es culpable, por lo que debe proceder a repararlo
Una responsabilidad que considera la intención de la persona
Responabilidad Subjetiva
Legislación costarricense
Quien se beneficio de una actividad o bien peligroso representa un peligro social, por lo que debe enfrantar los daños que su explotación ocasione
Teoría del Riesgo Creado
Ley 8131 de la Administración Financiera y Presupuestos Públicos
existe responsabilidad administrativa sobre
- accesos no autorizados
- omisión de datos o ingreso de datos incorrecto
- daños al hardware
Ley 8131 de la Administración Financiera y Presupuestos Públicos
en delitos informáticos se habla de
- manejo no autorizado de bases de datos restringidas
- daño a componenetes lógicos y físicos
- Facilitar acceso a terceros
- Uso de sistemas para beneficio propio
Ley 8454 de Certificados, Firmas Digitales y Documentos Electrónicos
objetivo de la ley
- marco legal para manejo de documentos electrónicos
- validez de la firma digital
- propositos de certificados digitales
- mecanismos para utilización de certificados
Ley 8968 de Protección de la Persona frente al Tratamiento de sus Datos
¿existe responsabilidad de las personas a cargo de manetener seguras las bases de datos?
sí
Ley 8968 de Protección de la Persona frente al Tratamiento de sus Datos
es obligatorio mantener actualizadas las medidas de seguridad?
sí
Ley 8968 de Protección de la Persona frente al Tratamiento de sus Datos
cuales factores sirven para determinar medidas de seguridad?
- sensibilidad de datos
- desarrollo tecnológico
- riesgos
Ley 8934 de Protección Niñez y Adolescencia Nocivo de Internet y otros
objetivos
- proteger de acceso a pornografía, lenguaje obsceno, violencia, agresión, racismo, xenofobia y discriminación
- obligatoriedad de filtros
- filtros facilitados por el estado
- responsabilidad de fiscalización y educación
Ley 9048 sobre Delitos Informáticos
liste delitos informáticos
- Estafa informática
- Sabotaje informático
- Suplantación de identidad
- Espionaje informático
- Instalación o propagación de malware
- Suplantación de páginas electrónicas
- Facilitación del delito informático
- Narco y crimen organizado
- Difusión de información falsa
- Daño informático
- Daño agravado
qué hace el CSIRT-CR
Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR)
- Centro encargado de promover y garantizar la seguridad de las TIC en el país, además de establecer planes de contingencia.
Funciones
- Detección y respuesta a incidentes
- Monitoreo de amenazas
- Asesoramiento y capacitación
- Información y sensibilización
- Colaboración y coordinación
- Desarrollo de políticas
- Investigación y análisis forense
Responsabilidades de los Profesionales de TI en relación Seguridad
liste las responsabilidad de profesionales en TI
- Formarse y actualizarse en seguridad
- comprender la necesidad de planificar la seguridad: entender contexto, indentificar riesgos, establecer estrategias y evaluar
- seguir procesos de desarrollo seguro de software
- Asumir la seguridad de los sistemas
- enseñar seguridad
