Sie sind auf Seite 1von 22

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN

Introduccin a la Seguridad Informtica


Conceptos Bsicos de Seguridad Informtica

Conceptos bsicos de la
Seguridad Informtica
1.

Sistemas de Informacin y Sistemas Informticos...................................................................... 2


1. Sistema de Informacin ........................................................................................................... 2
2. Sistema Informtico................................................................................................................. 3
3. Seguridad Informtica ............................................................................................................. 4
2. Objetivos o Propiedades de la Seguridad Informtica ................................................................ 5
1. Definiciones............................................................................................................................. 5
2. Objetivos de la Seguridad Informtica .................................................................................... 5
Confidencialidad.......................................................................................................................... 6
Disponibilidad ............................................................................................................................. 8
Autenticacin............................................................................................................................... 8
No Repudio (irrenunciabilidad)................................................................................................... 8
3. Anlisis de Riesgos...................................................................................................................... 9
1. Activos..................................................................................................................................... 9
2. Vulnerabilidades.................................................................................................................... 10
3. Amenazas............................................................................................................................... 10
4. Riesgos .................................................................................................................................. 13
5. Impactos ................................................................................................................................ 13
4. Control de Riesgos .................................................................................................................... 13
1. Enfoque Global de la Seguridad............................................................................................ 14
5. Clasificacin de la Seguridad .................................................................................................... 15
1. Seguridad Fsica y Lgica ..................................................................................................... 15
Seguridad Fsica ........................................................................................................................ 15
Seguridad Lgica....................................................................................................................... 16
2. Seguridad Activa y Pasiva..................................................................................................... 17
Seguridad Activa ....................................................................................................................... 17
Seguridad Pasiva ....................................................................................................................... 17
6. Herramientas de Anlisis y Gestin de Riesgos........................................................................ 19
1. Poltica de Seguridad ............................................................................................................. 19
2. Auditora................................................................................................................................ 20
3. Plan de Contingencias ........................................................................................................... 21

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

1. Sistemas de Informacin y Sistemas Informticos


Actualmente estamos inmersos en la denominada sociedad de la informacin, caracterizada por
la presencia de las tecnologas de la informacin y las comunicaciones (TIC); que permiten obtener,
almacenar y procesar grandes cantidades de informacin, de toda naturaleza, en un tiempo muy
limitado y ponindola a disposicin de la sociedad.
Pero el uso de las TIC (sistema informtico y de comunicaciones) no slo tiene ventajas, sino que
plantea tambin problemas como el de la seguridad.
El sistema informtico puede ser objeto del ataque o el medio para cometer delitos (ciberdelitos), ya
que acumula grandes cantidades de datos y es fcil su acceso y manipulacin. Por ello se han de
tener muy en cuenta los factores de riesgo y procurar implantar medidas de seguridad que eviten el
ser atacados o, en su caso, minimizar los efectos del ataque, salvaguardando la informacin que es
esencial.
La definicin de la RAE (Real Academia Espaola) del trmino SEGURO es estar libre y exento de
todo peligro, dao o riesgo.
La definicin de SEGURIDAD INFORMTICA aplicado a sistemas de informacin y sistemas
informticos es la disciplina que se ocupa de disear normas, procedimientos, mtodos y tcnicas
destinadas a conseguir un sistema de informacin seguro y confiable.

1. Sistema de Informacin
Un sistema de informacin (SI) es un
conjunto de elementos organizados,
relacionados y coordinados entre s,
encargados de facilitar el funcionamiento
global de una empresa o de cualquier otra
actividad humana para conseguir sus
objetivos.

Estos elementos son:


-

Equipo humano. Compuesto por las personas que trabajan para la organizacin.

Actividades o tcnicas de trabajo que se realizan en la organizacin, relacionadas o no con


la informtica.

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Recursos materiales en general. Pueden ser fsicos, como ordenadores, componentes,


perifricos y conexiones, recursos no informticos; y lgicos, como sistemas operativos y
aplicaciones informticas. Tpicamente recursos informticos y de comunicacin, aunque no
tienen por qu ser de este tipo obligatoriamente.

Informacin. Conjunto de datos organizados que tienen un significado. La informacin puede


estar contenida en cualquier tipo de soporte.

Todos estos elementos interactan entre s para procesar los datos (incluyendo procesos manuales y
automticos) dando lugar a informacin ms elaborada y distribuyndola de la manera ms
adecuada posible en una determinada organizacin en funcin de sus objetivos.

2. Sistema Informtico
Un sistema informtico est constituido por un conjunto de elementos fsicos (hardware,
dispositivos, perifricos y conexiones), lgicos (sistemas operativos, aplicaciones, protocolos) y
con frecuencia se incluyen tambin los elementos humanos (personal experto que maneja el
software y el hardware).
El hardware incluye una o varias CPU, memoria, sistemas de almacenamiento externo, etc. El
software incluye al sistema operativo, firmware y aplicaciones, siendo especialmente importante
los sistemas de gestin de bases de datos. Por ltimo el soporte humano incluye al personal tcnico
(analistas, programadores, operarios, etc.) que crean y/o mantienen el sistema y a los usuarios que
lo utilizan.

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

3. Seguridad Informtica
La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos,
mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y confiable.
Un sistema de informacin, no obstante las medidas de seguridad que se le apliquen, no deja de
tener siempre un margen de riesgo.
Para afrontar el establecimiento de un sistema de seguridad en necesario conocer:
-

Cules son los elementos que componen el sistema. Esta informacin se obtiene mediante
entrevistas con los responsables o directivos de la organizacin para la que se hace el estudio de
riesgos y mediante apreciacin directa.

Cules son los peligros que afectan al sistema, accidentales o provocados. Se deducen tanto
de los datos aportados por la organizacin como por el estudio directo del sistema mediante la
realizacin de pruebas y muestreos sobre el mismo.

Cules son las medidas que deberan adoptarse para conocer, prevenir, impedir, reducir o
controlar los riesgos potenciales. Se trata de decidir cules sern los servicios y mecanismos de
seguridad que reduciran los riesgos al mximo posible.

Tras el estudio de riesgos y la implantacin de medidas, debe hacerse un seguimiento peridico,


revisando y actualizando las medidas adoptadas.
Todos los elementos que participan en un sistema de informacin pueden verse afectados por fallos
de seguridad, si bien se suele considerar la informacin como el factor ms vulnerable. El hardware
y otros elementos fsicos se pueden volver a comprar o restaurar, el software puede ser reinstalado,
pero la informacin daada no siempre es recuperable, lo que puede ocasionar daos de diversa
ndole sobre la economa y la imagen de la organizacin y, a veces, tambin causar perjuicios a
personas. Otro aspecto a tener en cuenta es que la mayora de los fallos de seguridad se deben al
factor humano.
Datos y aplicaciones, bienes ms preciados de una organizacin.

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

2. Objetivos o Propiedades de la Seguridad Informtica

1. Definiciones
Gene Spafford: El nico sistema verdaderamente seguro es aquel que se encuentra apagado,
encerrado en una caja fuerte de titanio, enterrado en un bloque de hormign, rodeada de gas
nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostara
mi vida por ello.
William R. Cheswick: Hablando ampliamente, la seguridad es evitar que alguien haga cosas que
no quieres que haga con o desde tu ordenador o alguno de sus perifricos.
INFOSEC Glossary 2000: Seguridad de los Sistemas de Informacin consiste en la proteccin de
los sistemas de informacin respecto al acceso no autorizado o modificacin de la informacin en
el almacenamiento, proceso y trnsito y contra la denegacin de servicio para los usuarios
autorizados, incluyendo aquellas medidas necesarias para detectar, documentar y contrarrestar
dichas amenazas.
ISO17799: La seguridad de la informacin se puede caracterizar por la preservacin de:
Confidencialidad: Asegurar que el acceso a la informacin est adecuadamente autorizado.
Integridad: Salvaguardar la precisin y completitud de la informacin y sus mtodos de
proceso.
Disponibilidad: Asegurar que los usuarios autorizados pueden acceder a la informacin
cuando la necesitan.
INFOSEC Glossary 2000: Seguridad Informtica son las medidas y controles que aseguran la
confidencialidad, integridad y disponibilidad de los activos de los Sistemas de Informacin,
incluyendo hardware, software, firmware y aquella informacin que procesan, almacenan y
comunican.
Seguridad: Conjunto de acciones que se llevan a cabo con el fin de mantener la integridad y
disponibilidad de los datos y la privacidad de la informacin. Se lleva a cabo mediante una
poltica de seguridad.

2. Objetivos de la Seguridad Informtica


Los daos producidos por falta de seguridad pueden causar prdidas econmicas o de
credibilidad y prestigio a una organizacin.
Su origen puede ser:

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Fortuito. Errores cometidos accidentalmente por los usuarios, accidentes, cortes de fluido
elctrico, averas del sistema, catstrofes naturales

Fraudulento. Daos causados por software malicioso, intrusos o por la mala voluntad de algn
miembro del personal con acceso al sistema, robo o accidentes provocados.

Por lo tanto las propiedades de un sistema de informacin seguro u objetivo de la seguridad


informtica son:
-

Confidencialidad
Integridad
Disponibilidad

Junto a estos 3 se estudian tambin


- Autenticacin
- No repudio

Como se muestra en la figura, hemos dejado de limitarnos a la tpica triada de la seguridad que
comprende la confidencialidad, la integridad y la disponibilidad aumentando la visin de seguridad
con los criterios de No repudio y autenticidad.

Confidencialidad
Garantiza que la informacin almacenada en el sistema informtico o transmitida por la red,
solamente va a estar disponible de manera comprensible, para personas, entidades o sistemas
autorizados a acceder a esta informacin.
Podemos asegurar la confidencialidad con:
- Control de acceso. Solo se permite acceder a quien tiene permiso. Debe autenticarse (usuario
y contrasea).
- El cifrado de la informacin. Si no se est autorizado la informacin no es comprensible.

Navegacin cifrada
El navegador google permite que todas las bsquedas vayan cifradas. til para que los navegadores
no nos enven publicidad en funcin de las pginas que visitamos.
https://encrypted.google.com/

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Trabajar sobre NTFS en Windows


Hemos mencionado que una de las formas de guardar la confidencialidad es mediante la
encriptacin. Microsoft a partir de Windows 2000 introdujo EFS (Encrypted File System), que es
un sistema de archivos, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema,
cumpliendo as la posibilidad de encriptacin y por tanto la proteccin de archivos confidenciales.
El usuario que realice la
encriptacin de archivos
ser el nico que dispondr
de acceso a su contenido, y
al nico que se le permitir
modificar, copiar o borrar
el archivo protegido. Todo
esto lo controla el sistema
operativo.

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Disponibilidad
Garantiza que el sistema (informacin y servicios), esta accesible de manera segura, eficiente y
en un tiempo aceptable y puede ser utilizado por los usuarios autorizados cuando estos lo
requieran.
Podemos asegurar la disponibilidad con:
- Sistemas de alta disponibilidad (Objetivo: funcionar las 24 horas del da, 7 das a la
semana). Se aseguran que ante interrupciones previstas (actualizaciones, backups) y no
previstas (corte de suministro elctrico), nuestro sistema estar disponible casi de inmediato.
Ejemplo clusters de servidores, backups,
-

Sistemas tolerantes a fallos. Duplicidad para asumir el control cuando hay una interrupcin
provocada por un desastre. (RAID, segunda fuente de alimentacin, doble procesador). El
sistema est siempre disponible.

Autenticacin
Situacin en la cual se puede verificar que los datos pertenecen a quien los datos dicen.
Para ello el usuario puede aportar su login y contrasea, con lo que permite verificar que es quien
dice ser. Se considera un usuario autorizado.

No Repudio (irrenunciabilidad)
Relacionado con la autenticacin. Permite probar ante un tercero la participacin de las partes en
la comunicacin.
Tipos:
- No repudio en el origen: el emisor no puede negar el envo porque el destinatario tiene
pruebas del mismo. El receptor recibe una prueba infalsificable del origen del envo, lo cual
evita que el emisor niegue tal envo ante un tercero.
-

No repudio en el destino: el receptor no pueda negar que recibi el mensaje porque el emisor
tiene pruebas de la recepcin. El emisor tiene la prueba de que el destinatario legitimo de un
envo, realmente lo recibi, evitando que el receptor lo niegue.

Es muy importante en transacciones electrnicas.


Una firma digital es una cadena de datos creada a partir de un mensaje o por parte de un mensaje
de forma que sea imposible que quin enva el mensaje reniegue de l (repudio) y quin recibe el
mensaje pueda asegurar que quin dice que lo ha enviado, es decir, el receptor de un mensaje digital
puede asegurar cual es el origen del mismo (autenticacin). As mismo, las firmas digitales pueden
garantizar la integridad de los datos.

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

3. Anlisis de Riesgos
A la hora de dotar de seguridad a un sistema de informacin, hay que tener en cuenta:
- Todos los elementos que lo componen: activos
- Analizar el nivel de vulnerabilidad de cada uno de ellos ante determinadas amenazas
- Valorar el impacto que un ataque causara sobre todo el sistema
El objetivo final de la seguridad es proteger lo que la empresa posee, el activo de la empresa
(mobiliario de la oficina, equipos informticos, datos de clientes, facturas, personal).

1. Activos
Son los recursos que pertenecen a la empresa y que esta debe proteger. Facilitan su funcionamiento
y la consecucin de sus objetivos. Cualquier dao que se produzca sobre los activos tendr un
impacto en la empresa.
Podemos clasificarlos en los siguientes tipos:
-

Datos. Constituyen el ncleo de toda organizacin, hasta tal punto que se


tiende a considerar que el resto de los activos estn al servicio de la
proteccin de los datos. El funcionamiento de una empresa u
organizacin depende de sus datos, que pueden ser de todo tipo:
econmicos, fiscales, de recursos humanos, clientes o proveedores
Normalmente estn organizados en bases de datos y almacenados en
soportes de diferente tipo.
Cada tipo de dato merece un estudio independiente de riesgo por la repercusin que su deterioro
o prdida pueda causar, como por ejemplo los relativos a la intimidad y honor de las personas u
otros de ndole confidencial.

Software. Constituido por los sistemas operativos y el conjunto de aplicaciones instaladas en


los equipos de un sistema de informacin que reciben y gestionan o transforman los datos para
darles el fin que se tenga establecido.

Hardware. Se trata de los equipos (servidores y terminales) que


contienen las aplicaciones y permiten su funcionamiento, a la vez
que almacenan los datos del sistema de informacin. Incluimos
en este grupo los perifricos y elementos accesorios que sirven
para asegurar el correcto funcionamiento de los equipos o servir
de va de transmisin de los datos (mdem, router, instalacin
elctrica o sistemas de alimentacin ininterrumpida).

Redes. Desde las redes locales de la propia organizacin hasta las metropolitanas o Internet.
Representan la va de comunicacin y transmisin de datos a distancia.

SMR: Seguridad Informtica

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Soportes. Los lugares en donde la informacin queda registrada y almacenada durante largos
perodos o de forma permanente (DVD, CD, tarjetas de memoria, discos duros externos
dedicados al almacenamiento, microfilms e incluso papel).

Instalaciones. Son los lugares que albergan los sistemas de


informacin y de comunicaciones. Normalmente se trata de oficinas,
despachos, locales o edificios, pero tambin pueden ser vehculos y
otros medios de desplazamiento.

Personal. El conjunto de personas que interactan con el sistema de


informacin: administradores, programadores, usuarios internos y
externos y resto de personal de la empresa. Los estudios calculan que
se producen ms fallos de seguridad por intervencin del factor
humano que por fallos en la tecnologa.

Servicios que se ofrecen a clientes o usuarios: productos, servicios, sitios Web, foros, correo
electrnico y otros servicios de comunicaciones, informacin, seguridad, etc.

2. Vulnerabilidades
Es una debilidad en un sistema informtico. Probabilidades que existen de que una amenaza se
materialice contra un activo. Un sistema es vulnerable cuando cualquier fallo o amenaza
compromete la seguridad. No hay vulnerabilidad cuando no existe amenaza para la misma.
No todos los activos son vulnerables a las mismas amenazas. Por ejemplo, los datos son vulnerables
a la accin de los hackers, mientras que una instalacin elctrica es vulnerable a un cortocircuito.
Al hacer el anlisis de riesgos hay que tener en cuenta la vulnerabilidad de cada activo. No hay
riesgo ante una amenaza cuando no hay vulnerabilidad.
Microsoft dispone de un centro de actualizacin, donde se emiten (entre otras cosas) un registro de
las vulnerabilidades encontradas en el sistema. http://www.microsoft.com/spain/seguridad

3. Amenazas
Son situaciones, elementos o factores de diversa ndole (personas, mquinas o sucesos) que (de
tener la oportunidad) atacaran al sistema producindole daos aprovechndose de su nivel de
vulnerabilidad.
Hay diferentes tipos de amenazas de las que hay que proteger al sistema y van, en funcin de quien
las provoca:

SMR: Seguridad Informtica

10

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Personas: la mayora de ataques a nuestro sistema van a provenir de personas que


intencionada o inintencionadamente, pueden causar enormes perdidas.
Los atacantes son pasivos cuando slo fisgonean pero no modifican o destruyen y son
activos cuando daan el activo, o lo modifican en su favor.
Entre estas personas nos encontramos con:
o Personal: normalmente causa daos de tipo accidental causados por un error o
desconocimiento.
o Exempleados: personas descontentas que aprovechan debilidades que conocen para
causar dao (su cuenta no se ha deshabilitado y pueden introducir virus, cambiar
privilegios, etc)
o Curiosos: los ms habituales (leer correo de un amigo, copiar un trabajo, comprobar
que es posible romper la seguridad). Rompe la
fiabilidad del sistema.
o Hackers: Experto en programacin pero con
sentido negativo, pues intenta obtener acceso no
autorizado al sistema para curiosear y demostrar
que el sistema es vulnerable.
o Crakers: realiza la intrusin con fines de
beneficio personal o para hacer dao.
o Intrusos remunerados: piratas con gran experiencia y alto conocimiento del
sistema, que son pagados por terceros para robar secretos o daar la imagen de la
entidad afectada.

Amenazas lgicas: programas que de una forma u otra pueden daar nuestro sistema,
creados de forma intencionada para ello (software malicioso o malware, bugs o agujeros).

Amenazas fsicas: afectan a la seguridad y funcionamiento del sistema. Aqu tenemos los
robos, sabotajes, destruccin del sistema, cortes de suministro elctrico, condiciones
adversas de humedad y temperatura, catstrofes naturales o artificiales.

En funcin del tipo de alteracin, dao o intervencin que podran producir sobre la informacin,
las amenazas se clasifican en cuatro grupos:

De interrupcin. El objetivo de la amenaza es deshabilitar el acceso a la informacin; por


ejemplo, destruyendo componentes fsicos como el disco duro, bloqueando el acceso a los datos,
o cortando o saturando los canales de comunicacin.

SMR: Seguridad Informtica

11

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

De interceptacin. Personas, programas o equipos no autorizados podran acceder a un


determinado recurso del sistema y captar informacin confidencial de la organizacin, como
pueden ser datos, programas o identidad de personas.

De modificacin. Personas, programas o equipos no autorizados no solamente accederan a los


programas y datos de un sistema de informacin sino que adems los modificaran. Por ejemplo,
modificar la respuesta enviada a un usuario conectado o alterar el comportamiento de una
aplicacin instalada.

De fabricacin. Agregaran informacin falsa en el conjunto de informacin del sistema.

Segn su origen las amenazas se clasifican en:


-

Accidentales. Accidentes meteorolgicos, incendios, inundaciones, fallos en los equipos, en las


redes, en los sistemas operativos o en el software, errores humanos.

Intencionadas. Son debidas siempre a la accin humana, como la introduccin de software


malicioso malware (aunque este penetre en el sistema por algn procedimiento automtico, su
origen es siempre humano), intrusin informtica (con frecuencia se produce previa la

SMR: Seguridad Informtica

12

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

introduccin de malware en los equipos), robos o hurtos. Las amenazas intencionadas pueden
tener su origen en el exterior de la organizacin o incluso en el personal de la misma.

4. Riesgos
Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una
vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni una
vulnerabilidad cuando no existe amenaza para la misma.
Ante un determinado riesgo, una organizacin puede optar por tres alternativas distintas:
-

Aplicar medidas para disminuirlo o anularlo.

Asumirlo sin hacer nada. Asumirlo sin hacer nada. Esto solamente resulta lgico cuando el
perjuicio esperado no tiene valor alguno o cuando el coste de aplicacin de medidas superara al
de la reparacin del dao.

Transferirlo (por ejemplo, contratando un seguro).

5. Impactos
Son la consecuencia de la materializacin de una o ms amenazas sobre uno o varios activos
aprovechando la vulnerabilidad del sistema o, dicho de otra manera, el dao causado. Ejemplos:
perdida de negocio durante el periodo de reposicin de una base de datos, tener que comprar el
hardware estropeado o robado.
Los impactos pueden ser cuantitativos, si los perjuicios pueden cuantificarse econmicamente, o
cualitativos, si suponen daos no cuantificables, como los causados contra los derechos
fundamentales de las personas.

4. Control de Riesgos
Una vez que se ha realizado el anlisis de riesgos se tiene que determinar cules sern los objetivos
o caractersticas necesarios para conseguir un sistema de informacin seguro.
Recordemos que los objetivos de un sistema seguro son: integridad, confidencialidad,
disponibilidad, autenticacin (o identificacin), no repudio (o irrenunciabilidad).

SMR: Seguridad Informtica

13

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Para poder dar esos servicios ser necesario dotar al sistema de los mecanismos correspondientes.
Segn la funcin que desempeen los mecanismos de seguridad pueden clasificarse en:
-

Preventivos. Actan antes de que se produzca un ataque. Su misin es evitarlo.

Detectores. Actan cuando el ataque se ha producido y antes de que cause daos en el


sistema.

Correctores. Actan despus de que haya habido un ataque y se hayan producido daos. Su
misin es la de corregir las consecuencias del dao.

Cada mecanismo ofrece al sistema uno o ms servicios.


Existen muchos y variados mecanismos de seguridad. La eleccin de mecanismos de seguridad
depende de cada sistema de informacin, de su funcin, de las posibilidades econmicas de la
organizacin y de cules sean los riesgos a los que est expuesto el sistema.

1. Enfoque Global de la Seguridad


La informacin es el ncleo de todo sistema de informacin. Para proteger sus propiedades de
integridad, disponibilidad y confidencialidad es necesario tener en cuenta a los niveles que la
rodean para dotarlos de mecanismos y servicios de seguridad.
Desde el exterior hasta llegar a la informacin, se pueden definir estos niveles:
-

La ubicacin fsica. Edificio, planta o habitaciones, por ser el lugar fsico en donde se
encuentran ubicados los dems niveles.

El hardware y los componentes de la red que se encuentran en el interior del entorno fsico,
porque contienen, soportan y distribuyen la informacin.

El sistema operativo y todo el software, porque gestiona la informacin.

La conexin a Internet, por ser la va de contacto entre el sistema de informacin y el


exterior.

La informacin.

SMR: Seguridad Informtica

14

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Observa la figura siguiente para comprobar que


la conexin a Internet atraviesa los distintos
niveles hasta llegar a la informacin: En el
edificio habr antenas, cableado en los muros,
etc. Entre el hardware contamos con routers,
switches, ordenadores, servidores, perifricos,
etc. El sistema operativo y el software gestionan
los accesos a Internet. La informacin es el bien
preciado que no se debe descuidar, pues desde
Internet solamente se podr acceder a una parte
de ella y siempre que los usuarios tengan
autorizacin.
No olvidemos al personal de la empresa que puede actuar en todos los niveles o en parte de ellos y
por lo tanto es un factor a tener en cuenta.

5. Clasificacin de la Seguridad
Existen distintas clasificaciones:
- Segn el momento de actuacin: Seguridad activa y pasiva.
- Segn el activo a proteger (recursos del sistema de informacin): Seguridad fsica y lgica.
- Segn se acte antes o despus del percance.

1. Seguridad Fsica y Lgica


En funcin del recurso a proteger.

Seguridad Fsica
Protege el hardware (equipos informticos, cableado, perifricos,) de los desastres naturales
(terremotos, incendios, inundaciones, sobrecargas elctricas, robos,).
Son tareas y mecanismos fsicos cuyo objetivo es proteger al sistema (y, por tanto indirectamente a
la informacin) de peligros fsicos y lgicos.
-

Respaldo de datos. Guardar copias de seguridad de la informacin del sistema en lugar


seguro. Disponibilidad.

Dispositivos fsicos de proteccin, como pararrayos, detectores de humo y extintores,


cortafuegos por hardware, alarmas contra intrusos, sistemas de alimentacin ininterrumpida
(para picos y cortes de corriente elctrica) o mecanismos de proteccin contra instalaciones.
En cuanto a las personas, acceso restringido a las instalaciones; por ejemplo, mediante
vigilantes jurados o cualquier dispositivo que discrimine la entrada de personal a determinadas
zonas.

SMR: Seguridad Informtica

15

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Seguridad Lgica
Completa a la seguridad fsica, protege el software del sistema informtico (S.O, aplicaciones y
datos) de diferentes ataques (virus, robos, modificaciones no autorizadas, perdida de informacin,
etc).
Tanto los mecanismos de seguridad activa como lo de seguridad pasiva se pueden aplicar a
elementos fsicos como a elementos lgicos del sistema de informacin y en todo caso pueden ser
fsicos y lgicos.
Los mecanismos y herramientas de seguridad lgica tienen como objetivo proteger digitalmente la
informacin de manera directa.
-

Control de acceso mediante nombres de usuario y contraseas.

Cifrado de datos (encriptacin). Los datos se enmascaran con una clave especial creada
mediante un algoritmo de encriptacin. Emisor y receptor son conocedores de la clave y a la
llegada del mensaje se produce el descifrado. El cifrado de datos fortalece la confidencialidad.

Antivirus. Detectan e impiden la entrada de virus y otro software malicioso. En el caso de


infeccin tienen la capacidad de eliminarlos y de corregir los daos que ocasionan en el
sistema. Preventivo, detector y corrector. Protege la integridad de la informacin.

Cortafuegos (firewall). Se trata de uno o ms dispositivos de software, de hardware o mixtos


que permiten, deniegan o restringen el acceso al sistema. Protege la integridad de la
informacin.

Firma digital. Se utiliza para la transmisin de mensajes telemticos y en la gestin de


documentos electrnicos (por ejemplo, gestiones en oficinas virtuales). Su finalidad es
identificar de forma segura a la persona o al equipo que se hace responsable del mensaje o del
documento. Protege la integridad y la confidencialidad de la informacin.

Certificados digitales. Son documentos digitales mediante los cuales una entidad autorizada
garantiza que una persona o entidad es quien dice ser, avalada por la verificacin de su clave
pblica. Protege la integridad y la confidencialidad de la informacin.

Las redes inalmbricas (WiFi) necesitan precauciones adicionales para su proteccin:


-

Usar un SSID (Service Set Identifier), es decir, darle un nombre a la red, preferiblemente uno
que no llame la atencin de terceros que detecten esta red entre las disponibles. Cambiar con
cierta frecuencia el SSID.

Proteccin de la red mediante claves encriptadas WEP (Wired Equivalent Privacy) o


WPA (WiFi Protected Access). La clave WEP consume ms recursos y es ms fcilmente
descifrable que la WPA y debera cambiarse con frecuencia. La WPA es de encriptacin
dinmica y mucho ms segura al ser ms difcil de descifrar. Cambiar peridicamente la
contrasea de acceso a la red.

SMR: Seguridad Informtica

16

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Filtrado de direcciones MAC (Media Access Control). Es un mecanismo de acceso al


sistema mediante hardware, por el que se admiten solo determinadas direcciones, teniendo en
cuenta que cada tarjeta de red tiene una direccin MAC nica en el mundo. Puede resultar
engorroso de configurar y no es infalible puesto que es posible disfrazar la direccin MAC
real.

2. Seguridad Activa y Pasiva


Momento en el que se ponen en marcha las medidas oportunas.

Seguridad Activa
Previenen e intentan evitar los daos en los sistemas informticos. Conjunto de defensas o medidas
cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema.

Seguridad Pasiva
Completa la seguridad activa e intenta minimizar los efectos de algn percance ocurrido. Una vez
producido el incidente de seguridad, minimizar su repercusin y facilitar la recuperacin del
sistema.
Ejemplos:

SMR: Seguridad Informtica

17

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

SMR: Seguridad Informtica

18

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

6. Herramientas de Anlisis y Gestin de Riesgos

1. Poltica de Seguridad
Recoge las directrices u objetivos de una organizacin con respecto a la seguridad de la
informacin. Forma parte de su poltica general y, por tanto, ha de ser aprobada por la direccin.
El objetivo principal de la redaccin de una poltica de seguridad es la de concienciar a todo el
personal de una organizacin, y en particular al involucrado directamente con el sistema de
informacin, en la necesidad de conocer qu principios rigen la seguridad de la entidad y cules son
las normas para conseguir los objetivos de seguridad planificados. Por tanto, la poltica de seguridad
deber redactarse de forma que pueda ser comprendida por todo el personal de una
organizacin.
No todas las polticas de seguridad son iguales. El contenido depende de la realidad y de las
necesidades de la organizacin para la que se elabora.
Existen algunos estndares de polticas de seguridad por pases y por reas (gobierno, medicina,
militar), pero los ms internacionales son los definidos por la ISO (International Organization
for Standardization).
Los objetivos de una poltica de seguridad se dividen en grupos como:
-

Identificar las necesidades de seguridad y los riesgos que amenazan al sistema de


informacin, as como evaluar los impactos ante un eventual ataque.

SMR: Seguridad Informtica

19

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

Relacionar todas las medidas de seguridad que deben implementarse para afrontar los
riesgos de cada activo o grupo de activos.

Proporcionar una perspectiva general de las reglas y los procedimientos que deben aplicarse
para afrontar los riesgos identificados en los diferentes departamentos de la organizacin.

Detectar todas las vulnerabilidades del sistema de informacin y controlar los fallos que se
producen en los activos, incluidas las aplicaciones instaladas.

Definir un plan de contingencias que garanticen la continuidad del negocio, recuperndolo


tras un desastre.

2. Auditora
La auditora es un anlisis pormenorizado de un sistema de
informacin que permite descubrir, identificar y corregir
vulnerabilidades en los activos que lo componen y en los procesos
que se realizan.
Su finalidad es verificar que se cumplen los objetivos de la poltica
de seguridad de la organizacin. Proporciona una imagen real y
actual del estado de seguridad de un sistema de informacin.
Tras el anlisis e identificacin de vulnerabilidades, la persona o equipo encargado de la auditora
emite un informe que contiene, como mnimo:
-

Descripcin y caractersticas de los activos y procesos analizados.

Anlisis de las relaciones y dependencias entre activos o en el proceso de la informacin.

Relacin y evaluacin de las vulnerabilidades detectadas en cada activo o subconjunto de


activos y procesos.

Verificacin del cumplimiento de la normativa en el mbito de la seguridad.

Propuesta de medidas preventivas y de correccin.

Para evaluar la seguridad de un sistema de informacin se necesitan herramientas de anlisis:


-

Manuales. Observacin de los activos, procesos y comportamientos, mediciones, entrevistas,


cuestionarios, clculos, pruebas de funcionamiento.

Software especfico para auditoria. Se le reconoce por las siglas CAAT (Computer Assisted
Audit Techniques). Los CAATS son herramientas de gran ayuda para mejorar la eficiencia de
una auditora, pudiendo aplicarse sobre la totalidad o sobre una parte del sistema de
informacin. Proporcionan una imagen en tiempo real del sistema de informacin, realizan

SMR: Seguridad Informtica

20

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

pruebas de control y emiten informes en los que sealizan las vulnerabilidades y puntos
dbiles del sistema, as como las normativas que podran estar incumplindose.
La auditora puede ser total, sobre todo el sistema de informacin, o parcial, sobre determinados
activos o procesos.
La auditora de un sistema de informacin puede realizarse:
-

Por personal capacitado perteneciente a la propia empresa.


Por una empresa externa especializada.

3. Plan de Contingencias
Las empresas deben estar preparadas para manejar una crisis, tanto en el aspecto operacional,
como de comunicacin. Deben reflexionar sobre las amenazas y su vulnerabilidad. Esto es
necesario para disear y preparar un Plan de Contingencia destinado a superar las crisis que se les
presente y que puedan poner en peligro la continuidad de un negocio.
Las razones para desarrollar un Plan de Contingencia en cada empresa van ms all de evitar
prdidas financieras, recibir publicidad negativa y reduccin de la participacin en el mercado. Se
basan en la subsistencia misma de la empresa u organizacin, despus de un desastre.
El plan de contingencias es una estrategia o instrumento de gestin que contiene las medidas
(tecnolgicas, humanas y de organizacin) que garanticen la continuidad del negocio protegiendo
el sistema de informacin de los peligros que lo amenazan o recuperndolo tras un impacto
(restituir rpidamente los servicios de la organizacin ante la eventualidad de todo lo que lo pueda
paralizar, ya sea de forma parcial o total).
Determinadas amenazas a cualquiera de los activos del sistema de informacin pueden poner en
peligro la continuidad de un negocio. El plan de contingencias es un instrumento de gestin que
contiene las medidas (tecnolgicas, humanas y de organizacin) que garanticen la continuidad
del negocio protegiendo el sistema de informacin de los peligros que lo amenazan o recuperndolo
tras un impacto.
El plan de contingencias consta de tres subplanes independientes:
-

Plan de respaldo. Ante una amenaza, se aplican medidas preventivas para evitar que se
produzca un dao. Por ejemplo, crear y conservar en lugar seguro copias de seguridad de la
informacin, instalar pararrayos o hacer simulacros de incendio.

Plan de emergencia. Contempla qu medidas tomar cuando se est materializando una


amenaza o cuando acaba de producirse. Por ejemplo, restaurar de inmediato las copias de
seguridad o activar el sistema automtico de extincin de incendios.

Plan de recuperacin. Indica las medidas que se aplicarn cuando se ha producido un


desastre. El objetivo es evaluar el impacto y regresar lo antes posible a un estado normal de
funcionamiento del sistema y de la organizacin. Por ejemplo, tener un lugar alternativo

SMR: Seguridad Informtica

21

INTRODUCCIN A LA SEGURIDAD INFORMTICA Y FUNDAMENTOS DE LEGISLACIN


Introduccin a la Seguridad Informtica
Conceptos Bsicos de Seguridad Informtica

donde continuar la actividad si el habitual hubiese sido destruido, sustituir el material


deteriorado, reinstalar aplicaciones y restaurar copias de seguridad.
La elaboracin del plan de contingencias no puede descuidar al personal de la organizacin, que
estar informado del plan y entrenado para actuar en las funciones que le hayan sido encomendadas
en caso de producirse una amenaza o un impacto.
En el siguiente esquema se indican
los pasos a seguir para desarrollar
un Plan de Contingencia

SMR: Seguridad Informtica

22