TEMA 1

INTRODUCCIÓN A LA SEGURIDAD INFORMATICA

APROXIMACIONES AL CONCEPTO DE SEGURIDAD EN SISTEMAS DE INFORMACIÓN
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y
técnicas destinados a conseguir un sistema de información seguro y confiable
Un sistema de información, no obstante, las medidas de seguridad que se le apliquen, no deja de tener
un margen de riesgo.
Para afrontar el establecimiento de un sistema de seguridad es necesario conocer
 Cuáles son los elementos que componen el sistema. Esta información se obtiene mediante
entrevistas con los responsables o directivos de la organización para la que se le hace el estudio
de riesgos y mediante apreciación directa.
 Cuáles son los peligros que afectan al sistema, accidentales o provocados. Se deducen tanto de
los datos aportados por la organización como por el estudio directo del sistema mediante la
realización de pruebas de muestreos sobre el mismo.
 Cuáles son las medidas que deberían adoptarse para conocer, prevenir, impedir, deducir o
controlar los potenciales. Se trata de decidir cuáles serán los servicios y mecanismos de
seguridad que reducirían los riesgos al máximo posible
SEGURIDAD INFORMATICA «LO QUE NO ESTA PERMITIDO DEBE ESTAR PROHIBIDO»
Tras el estudio de riesgos y la implementación de medidas, debe hacerse un seguimiento periódico,
revisando y actualizando las medidas adoptadas
Todos los elementos que participan en un sistema de información pueden verse afectados por fallos de
seguridad, si bien se suele considerar la información como el factor más vulnerable. El hardware y otros
elementos físicos se pueden volver comprar o restaurar, el software puede ser reinstalado, pero la
información dañada no siempre es recuperable, lo que puede ocasionar daños de diversos índole sobre
la economía y la imagen de la organización y, a veces, también causar perjuicios a personas. Otros
aspectos a tener en cuenta es que la mayoría de los fallos de seguridad se deben al factor humano
TIPOS DE SEGURIDAD
1) ACTIVA
Comprende el conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que
amenazan al sistema.

Ejemplos: impedir el acceso a la información a usuarios no autorizados mediante introducción de

nombres de usuarios y contraseñas; evitar la entrada de virus instalando un antivirus, impedir, mediante
encriptación, la lectura no autorizada de mensajes.
2) PASIVA
Está formada por las medidas que se implantan para, una vez producido el incidente de seguridad,
minimizar su repercusión y facilitar la recuperación del sistema; por ejemplo, teniendo siempre al día
copias de seguridad de los datos.
PROPIEDADES DE UN SISTEMA DE INFORMACIÓN SEGURO
Los daños producidos por falta de seguridad pueden causar pérdidas económicas o de credibilidad y
prestigio de una organización.
Su origen puede ser:
 Fortuito. Errores cometidos accidentalmente por los usuarios, accidentes, cortes de fluido
eléctricos, averías del sistema, catástrofes naturales...
 Fraudulento. Daños causados por software malicioso, intruso o por la mala voluntad de algún
miembro del personal con acceso al sistema, robo o accidentes provocados
Se considera seguro un sistema que cumple con las propiedades de integridad, confidencialidad y
disponibilidad de la información. Cada una de estas propiedades conlleva la implantación de
determinados servicios y mecanismos de seguridad.
 Integridad Este principio garantiza la autenticidad y precisión de la información sin importar el
momento en que esta se solicita, o, dicho de otra manera, una garantía de que los datos no han
sido alterados ni destruidos de modo no autorizado.
Para evitar este tipo de riesgos se debe dotar al sistema de mecanismos que prevengan y detecten
cuando se produce un fallo de integridad del sistema y que puedan tratar y resolver los errores que se
han descubierto.
 Confidencialidad La OCDE (Organización para la Cooperación y el Desarrollo Económico), en sus
Directrices para la Seguridad de los Sistemas de Información define la confidencialidad como «el
hecho de que los datos o información estén únicamente al alcance del conocimiento de
personas, entidades o mecanismos no autorizados, en los momentos autorizados y de una
manera autorizada.
Para prevenir errores de confidencialidad debe diseñarse un control de acceso al sistema: quién puede
acceder, a qué parte del sistema, en qué momento y para realizar qué tipo de operaciones
 Disponibilidad La información ha de estar disponible para los usuarios autorizados cuando la
necesiten.
El programa MAGERIT define la disponibilidad como «grado en el que un dato está en el lugar, momento
y forma en que es requerido por el usuario autorizado.
Situación que se produce cuando se puede acceder a un sistema de información en un periodo de
tiempo considerado aceptable. La disponibilidad está asociada a la fiabilidad técnica de los componentes
del sistema de información»
Se deben aplicar medidas que protejan la información, así como crear copias de seguridad y mecanismos
para restaurar los datos que accidentalmente o intencionadamente se hubiera dañado o destruido.
TEMA 1.1
ANALISIS DE RIESGO
A la hora de dotar de seguridad a un sistema de información, hay que tener en cuenta todos los
elementos que lo componen, analizar el nivel de vulnerabilidad de cada uno de ellos ante determinadas
amenazas y valorar el impacto que un ataque causaría sobre el sistema.
La persona o el equipo encargado de la seguridad deberá analizar con esmero cada uno de los
elementos. A veces el descuido de un elemento considerado débil ha producido importantes fallos de
seguridad. Al estar interrelacionados todos los elementos este descuido puede producir errores en
cadena con efectos insospechados sobre la organización.
1) ACTIVOS

Son los recursos que pertenecen al propio sistema de información o que están relacionados con este. La
presencia de los activos facilita el funcionamiento de la empresa u organización y la consecución de sus
objetivos. Al hacer un estudio de los activos existentes hay que tener en cuenta la relación que guardan
entre ellos y la influencia que se ejercen: Cómo afectaría en uno de ellos un daño ocurrido a otro.

Podemos clasificarlos en los siguientes tipos:

a) DATOS

Constituyen el núcleo de toda organización, hasta tal punto que se tiende a considerar que el resto de los
activos están al servicio de la protección de los datos. Normalmente están organizados en bases de datos
y almacenados en soportes de diferente tipo. El funcionamiento de una empresa u organización depende
de sus datos, que pueden ser de todo tipo: económicos, fiscales, de recursos humanos, clientes,
proveedores, etc…

Cada tipo de dato merece un estudio independiente de riesgo por la repercusión de que deterioro o
pérdida puede causar, como por ejemplo los relativos a la intimidad y honor de las personas u otros de
índole confidencial.

b) SOFTWARE

Constituido por los sistemas operativos y el conjunto de aplicaciones instaladas en los equipos
de un sistema de información que reciben y gestionan o transforman los datos para darles el fin que se
tenga establecido.
 c) HARDWARE
Se trata de los equipos (servidores y terminales) que contienen las aplicaciones y permiten su
funcionamiento, a la vez que almacenan los datos del sistema de información. Incluimos en este grupo
los periféricos y elementos accesorios que sirven para asegurar el correcto funcionamiento de los
equipos o servir de vía de transmisión de los datos (modem, Routers, instalación eléctrica o sistemas de
alimentación ininterrumpida, destructores de soportes informáticos…)
d) REDES
Desde las redes locales de la propia organización hasta las metropolitanas o Internet. Representan la vía
de comunicación y trasmisión de datos a distancia.
e) SOPORTES
Los lugares en donde la información queda registrada y almacenada durante largos períodos o de forma
permanente (DVD, CD, tarjetas de memoria, discos duros externos dedicados al almacenamiento,
microfilms e incluso papel)
f) INSTALACIONES
Son los lugares que albergan los sistemas de información y de comunicaciones. Normalmente se trata de
oficinas, despachos, locales o edificios, pero también pueden ser vehículos y otros medios de
desplazamiento.
g) PERSONAL
El conjunto de personas que interactúan con el sistema de información: administradores,
programadores, usuarios internos y externos y resto de personal de la empresa. Los estudios calculan
que se producen más fallas de seguridad por intervención del factor humano que por fallos de
tecnología.
h) SERVICIOS
Que se ofrecen a clientes o usuarios: productos, servicios, sitios web, foros, correo electrónico y otros
servicios de comunicaciones, información, seguridad, etc.
2) AMENAZAS
En sistemas de información se entiende por amenaza la presencia de uno o más factores de diversa
índole (personas, maquinas o sucesos) que –de tener la oportunidad- atacarían al sistema produciéndole
daños aprovechándose de su nivel de vulnerabilidad. Hay diferentes tipos de amenazas de las que hay
que proteger al sistema, desde las físicas como cortes eléctricos, fallos de hardware o riesgos
ambientales hasta los errores intencionados o no de los usuarios, la entrada de software malicioso (virus,
troyanos, gusanos) o el robo, destrucción o modificación de la información.
En función del tipo de alteración, daño o intervención que podrán producir sobre la información, las
amenazas se clasifican en cuatro grupos.
1. De interrupción. El objetivo de la amenaza es deshabilitar el acceso a la información; por
ejemplo, destruyendo componentes físicos como el disco duro, bloqueando el acceso a los
datos, o cortando o saturando los canales de comunicación.
2. De interceptación. Personas, programas o equipos no autorizados podrían acceder a un
determinado recurso del sistema y captar información confidencial de la organización, como
pueden ser datos, programas o identidad de personas.
3. De modificación. Personas, programas o equipos no autorizados no solamente accederían a los
programas y datos de un sistema de información, sino que además los modificarían. Por
ejemplo, modificar la respuesta enviada a un usuario conectado o alterar el comportamiento de
una aplicación instalada.
4. De fabricación. Agregarían información falsa en el conjunto de información del sistema.
Según su origen las amenazas se clasifican en:

1. Accidentales. Accidentes meteorológicos, incendios, inundaciones, fallos en los equipos, en las

redes, en los sistemas operativos o en el software, errores humanos.
2. Intencionadas. Son debidas siempre a la acción humana, como la introducción de software
malicioso-malware- (aunque este penetre en el sistema por algún procedimiento automático, su
origen es siempre humano), intrusión informática (con frecuencia se produce previa la
 introducción de malware en los equipos), robos o hurtos. Las amenazas intencionadas pueden
tener su origen en el exterior de la organización incluso en el personal mismo.
3) RIESGOS.
Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una
vulnerabilidad. No constituye riesgo una amenaza cuando no hay vulnerabilidad ni una vulnerabilidad
cuando no existe amenaza para la misma.
Ante un determinado riesgo, una organización puede optar por tres alternativas distintas:
 Asumirlo sin hacer nada. Esto solamente resulta lógico cuando el perjuicio esperado no tiene
valor alguno o cuando el costo de aplicación de medidas superaría al de la reparación del daño.
 Aplicar medidas para disminuirlos o anularlo.
 Transferido (por ejemplo, contratando un seguro)
4) VULNERABILIDAD

Probabilidades que existen de que una amenaza se materialice contra un activo.

No todos los activos son vulnerables a las mismas amenazas. Por ejemplo, los datos son vulnerables a la
acción de los hackers, mientras que una instalación eléctrica es vulnerable a un cortocircuito. Al hacer el
análisis de riesgos hay que tener en cuenta la vulnerabilidad de cada activo.
5) ATAQUES

Se dice que se ha producido un ataque accidental o deliberado contra el sistema cuando se ha

materializado una amenaza.
En función del impacto causado a los activos atacados, los ataques se clasifican en:
Activos. Si modifican, dañan, suprimen o agregan información, o bien bloquean o saturan los canales de
comunicación.
Pasivos. Solamente acceden sin autorización a los datos contenidos en el sistema. Son los más difíciles de
detectar.
Un ataque puede ser directo o indirecto, si se produce desde el ataque al elemento «victima»
directamente, o a través de recursos o personas intermediarias.
6) IMPACTOS

Son las consecuencias de la materialización de una o más amenazas sobre uno o varios activos
aprovechando la vulnerabilidad del sistema o, dicho de otra manera, el daño causado.
Los impactos pueden ser cuantitativos, si los perjuicios pueden cuantificarse económicamente, o
cualitativos, si suponen daños no cuantificables, como los causados contra los derechos fundamentales
de las personas
TEMA 1.2
Ciclo de vida de la Seguridad Informática
1. FASES DEL PROCESO DE SEGURIDAD.
EVALUACIÓN
 Debilidades:
 * Determinar el estado de la seguridad en dos áreas principales: Técnica y No Técnica.
* No técnica: Evaluación de políticas.
* Técnica: Evaluación de Seguridad física, diseño de seguridad en redes, matriz de habilidades.
 
Otras áreas que se deben revisar:
 - Seguridad exterior 
 - Seguridad de la basura
 - Seguridad en el edificio
 - Passwords
 - Ingeniería social
 - Clasificación de los datos
 Etc.
El Análisis de Riesgos nos permitirá:
 a) Realizar acciones:
- Proactivas
- Reactivas
 
b) Administrar el Riesgo:
- Identificar
- Analizar
- Evaluar
- Tratamiento a seguir
Administración de Riesgos:
 - Método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear
y comunicar los riesgos asociados con una actividad, función o procesos para minimizar pérdidas.
 
La Administración de Riesgos se puede basaren el Estándar Australiano AS/NZ 4360:1999.

2. FASES DEL PROCESO DE SEGURIDAD.

DISEÑO
 Actividades a desarrollar para evitar que sucedan acciones indeseables.
* Configuraciones de Seguridad efectivas basadas en estándares de la industria y organizacionales.
 - Necesitamos políticas?
 - Empleados accesando Internet?
 - Problemas con el uso de la red o el email?
 - Empleados utilizando información confidencial o privada?
- Acceso remoto a la organización?
 ¿Dependencia de los recursos informáticos?
* Políticas define que prácticas son o no son aceptadas.
¿Cómo concientizar?
 - En persona, por escrito o través de la Intranet.
 - Reuniones por departamento.
- Publicar artículos, boletines, noticias.
- Crear un espacio virtual para sugerencias y comentarios.
- Enviar emails con mensajes de concientización.
- Pegar letreros en lugares estratégicos.
- Dar premios a empleados.
- Exámenes On-line.
- Crear eventos de Seguridad Informática.
 Logs en Firewalls.
 ¿Se requiere Sistemas de detección de Intrusos?
 necesitamos Sistemas de prevención de Intrusos?
 ¿Firma digital para envío de documentos?
  Fases del proceso de seguridad.
 Personal especializado pone en marcha los controles basados en el diseño desarrollado.
3. FASES DEL PROCESO DE SEGURIDAD
ADMINISTRACION Y SOPORTE
 Observar las actividades normales y reaccionar ante incidentes.
 monitoreo y alertas
 las respuestas se basan en el documento de políticas de seguridad definido.
 Forma en que se trata el incidente
 Encontrar el problema y corregirlo
 Practicas forenses
 Definir la responsabilidad y el causante del problema
Manejo de Incidentes
 Organización
 Identificación
 Encapsulamiento
 Erradicación
 Recuperación y
 Lecciones aprendidas.
Capacitación continua
 Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la
organización
 Habilidades y experiencia se alcanzan dentro de todo el proceso
CONCLUSIONES
Se debe contar con una unidad de seguridad informática en la organización o con el apoyo de consultoría
externa.
Impulsar un plan de concientización,
No desconocer la importancia de la S.I.,
Utilizar una metodología: “CICLO DE VIDA”,
Acciones deben ser proactivas y no reactivas,
Utilizar estándares de la industria en la administración de S.I. y de los riesgos
. TEMA 2
CONTROL DE RIESGO
1CONTROL DE RIESGO
Una ves que se ha realizado el análisis de riesgo se tiene que determinar cuales serán los servicios
necesarios para conseguir un sistema de información seguro. Para poder dar esos servicios será
necesario dotar al sistema de los mecanismos correspondientes.
SERVICIOS DE SEGURIDAD
1. Autenticación (o Identificación)
El sistema debe ser capaz de verificar que un usuario identificado que accede a un sistema o
que genera una determinada información es quien dice ser. Solo cuando un usuario o entidad
ah sido autenticado, podra tener autorización de acceso. Se puede exigir autenticación en la entidad
de origen de la información, en la de destino o en ambas.
2. De repudio (o irrenunciabilidad )
Proporcionara al sistema una serie de evidencias irrefutables de la autoria de un hecho.
El no repudio consiste en no poder negar haber emitido una información que si se emitio y en no poder
negar su recepción cuando si ha sido recibida.

De esto se deduce que el no repudio puede darse:

En origen. El emisor no puede negar el envió porque el receptor tiene pruebas certificadas del envío y de
la identidad del emisor. Las pruebas son emitidas por el propio emisor.
En destino. En este caso es el destinatario quien no puede negar haber recibido el envío ya que el emisor
tiene pruebas infalsificables del envío y de la identidad del destinatario. Es el receptor quien crea los
pruebas.
2CONTROL DE ACCESO
Podrán acceder a los recursos del sistema solamente el personal y usuarios con autorización.
3MECANISMOS DE SEGURIDAD
Según la función que desempeñen los mecanismos de seguridad pueden clasificarse en:
 Preventivos. Actuan antes de que se produzca un ataque. Su misión es evitarlo.
 Detectores. Actuan cuando el ataque se ha producido y antes de que cause daños en el sistema.
 Correctores. Actúan despues de que haya habido un ataque y se hayan producido daños. Su
misión es la de corregir las consecuencias del daño.
Cada mecanismo ofrece al sistema uno o más servicios de los especificados en el epigrafe anterior.
La elección del mecanismo de seguridad depende de cada sistema de información, de su función, de las
posibilidades economicas de la organización y de cuales son los riesgos a los que este expuesto el
sistema.
3.1Seguridad logica
Los mecanismos y herramientas de seguridad logica tienen como objetivo proteger digitalmente la
información de manera directa.
 Control de acceso. Mediante nombre de usuario y contraseña.
 Cifrado de datos (encriptación). Los datos se enmascaran con una clave especial creada
mediante un algoritmo de encriptación. Emisor yh receptor son conocedores de la clave y a la
llegada de la clave se produce el descifrado. El cifrado de datos fortalece la confidencialidad.
 Antivirus. Detectan e impiden la entrada de virus y otro sofware malicioso. En el caso de
infección tiene la capacidad de eliminarlos y de corregir los daños que ocasionan en el sistema.
Preventivo, detector y corrector. Protege la integridad de la información.
 Cartafuegos (firewall). Se trata de uno o mas dispositivos de software, de hardware o mixtos
que permiten, deniegan o restringen el acceso al sistema. Protege la integridad de la
información.
 Firma digital. Se utiliza para la transmisión de mensajes telemáticos y en la gestion de
documentos electronicos (por ejemplo, gestiones en oficinas virtuales). Su finalidad es
identificar de forma segura a las personas o el equipo que se hace responsable del mensaje o el
documento. Protege la integridad y la confidencialidad de la información.
 Certificados digitales. Son documentos digitales mediante los cuales una entidad autorizada
garantiza que una persono o entidad es quien dice ser, avalada por su verificación de su clave
publica. Protege la integridad y confidencialidad de la información.
Las redes digitales (WiFi) necesitan precauciones adicionales para su protección.
 Usar un SSID (Service Set Identifier). Es decir darle un nombre a al rede, preferiblemente uno
que no llame la atención de terceros que detecten esta red entre las disponibles. Cambiar con
cierta frecuencia el SSID.
 Protección de la red mediante claves encriptadas, WEP (Wired Equivalent Privacy) o WPA (WiFi
Protected Access). La clave WEP consume más recursos y es mas fácilmente descifrable que la
WPA, y debería cambiarse con frecuencia. La WPA es de encriptación dinámica y mucho mas
segura al ser mas difícil descifrar. Cambiar periódicamente la contraseña de acceso a la red.
 Filtrado de direcciones MAC (Media Access Control). Es un mecanismo de acceso al sistema
mediante hardware, por el que se admiten solo determinadas direcciones, teniendo en cuenta
que cada tarjeta de red tiene una dirección MAC unica en el mundo. Puede resultar engorroso
de configurar y no es infalible puesto que es posible disfrazar la dirección real MAC.
3.2Seguridad fisica

Son tareas y mecanismos fisicos cuyo objetivo es proteger al sistema (y, por tanto indirectamente a la
información) de peligros fisicos y logicos.
 Respaldo de datos. Guardar copias de seguridad de la información del sistema en lugar seguro.
Disponibilidad.
 Dispositivos fisicos. De protección, como pararrayos, detectores de humo y extintores,
cortafuegos por hardware , alarmas contra intrusos, sistema de alimentación ininterrumpida
( para picos y corte de corriente electrica) o mecanismos de protección contra instalaciones. En
cuanto a las personas, acceso restringido a las instalaciones, por ejemplo, mediante vigilantes
jurados o cualquier dispositivo que discrimine la entrada de personal a determinadas zonas.

























