Modelos de Encriptacion PDF

UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

INGENIERÍA INFORMÁTICA
PROYECTO FIN DE CARRERA
MODELOS DE ENCRIPTACIÓN DE
DATOS EN IT Y SU APLICACIÓN EN
EL DISEÑO DE SEGURIDAD DE
INFRAESTRUCTURAS
INFORMÁTICAS
Javier Ruiz-Canela López
MADRID, 7 de septiembre de 2009

“Si vis pacem, para bellum”
Si quieres la paz, prepara la guerra
Flavius Renatus Vegetius, Siglo IV d.C.
[Escribir texto]
RESUMEN
Los sistemas de información se basan en sistemas lógicos que están diseñados para ser
universales. Esa universalidad hace que cualquier persona esté en condiciones de
entender dichos sistemas. Cuando una organización adquiere un sistema de información
y lo integra en su sistema de negocio se está exponiendo a todo tipo de amenazas. Esto
sugiere un reto para la ciencia de la información, y es la de garantizar un sistema de
información seguro a través de medidas de protección.
Los sistemas de protección de la información pasan por el uso de sistemas de

encriptación que puedan hacer ilegible la información a cualquier cracker (criminal
hacker). Los sistemas de encriptación básicos se basan en la complejidad computacional
de la factorización de números primos. Dichos sistemas no obstante han quedado
obsoletos debido a los nuevos ataques dirigidos. Los nuevos ataques dirigidos utilizan la
potencia de varios computadores para romper los sistemas de encriptación tradicionales.
Esto produce la necesidad de innovar en los sistemas de encriptación. Los sistemas de
encriptación basados en curva elíptica (ECC) son la respuesta a los nuevos retos de los
ataques dirigidos. Dichos sistemas son más seguros y con menor carga computacional
para los sistemas de información; lo que además se traduce en una reducción de costes
en el sistema de seguridad de la información.
La ciencia de la información no obstante debe de integrar dichos sistemas a las

necesidades empresariales. Para ello, se requiere el diseño de una arquitectura de
seguridad para la información. La arquitectura de seguridad propuesta en este proyecto
y basado en ECC, se compone de un sistema de gestión de la seguridad de la
información y un perímetro de seguridad.
El sistema de gestión de la seguridad de la información cubre las necesidades de

organización de cualquier empresa: sistema de datos corporativos, plan de programas y
sistemas, relaciones inter-corporativas y extra-corporativas, organización administrativa
y control de riesgos. Esta serie de planes están diseñados con las recomendaciones de
las principales organizaciones en materia de seguridad de la información (ISO, ISSA,
SANS, ISSA,..etc.).
El perímetro de seguridad se compone de una estructura lógica computacional y una

organización física de puestos de trabajo. El sistema de estructura lógica computacional
está divida por una zona de servidores centralizados (DMZ), un sistema de control de
acceso y una zona para la monitorización de actividades. La organización física de
puestos de trabajo trata de responder a las vulnerabilidades que se puedan producir por
los ataques internos. Además el sistema perimetral cubre las amenazas que se pueden
producir por desastres naturales.
I
ABSTRACT
Information systems are based in a logical system that is designed to be universal. That
universality means that any person is able to understand such systems. When an
organization acquires an information system and integrates into its business system is
exposed to all kinds of threats. This suggests a challenge to information science. And it
is ensuring a secure information system through protection measures.
The protection information systems through the use of encryption systems that can
make the information unreadable to any crackers (criminal hackers). Basic encryption
systems are based on the computational complexity of the factorization of prime
numbers. However these systems have become obsolete because new attacks targeting.
The new attacks targeting use the power of several computers to break the traditional
encryption systems. This produces the need for innovation in encryption systems. The
encryption systems based on elliptic curve (ECC) are the answer to the new challenges
of the targeting. These systems are safer and less computational burden for information
systems, which also translates into lower costs in the information system security.
However information science must integrate these systems to business needs. This
requires the design of information security architecture. The security architecture
proposed in this project and based on ECC, comprises a security information
management system and a security perimeter.
The management system for information security organization serves the needs of any
enterprise: corporate data system, programs and systems plan, inter-corporate and extra-
corporate communications, administrative structure and risk control. This series of plans
are designed with the recommendations of major organizations in the field of
information security (ISO, ISSA, SANS, ISSA, etc. ...).
The security perimeter consists of a logical structure and a computational physics

works. The logical structure of computer system is divided by a centralized server
(DMZ), an access control system and an area for monitoring activities. Also, the
computational physics works covers the vulnerabilities that produce internal attacks.
Besides, the perimeter security threats the natural disasters.
II
ÍNDICE
1. Introducción ............................................................................................................................. 1
1.1. Estado del Arte................................................................................................................ 1
1.2. Justificación del Proyecto ............................................................................................... 1
2. Algoritmos Criptográficos ................................................................................................... 2
2.1. Algoritmos criptográficos de factorización discreta ....................................................... 3
2.2. Algoritmos criptográficos de Curva Elíptica (ECC) ....................................................... 5
2.3. Ventajas de los algoritmos de curva elíptica sobre los algoritmos clásicos .................. 9
2.4. Aplicaciones de los algoritmos de curva elíptica ......................................................... 10
3. Política de Seguridad ......................................................................................................... 11
3.1. Política basada en planes de seguridad ......................................................................... 11
3.2. Documento de política de seguridad de la información ................................................ 12
3.3. Revisión de la política de seguridad de la información ............................................... 14
4. Plan de Seguridad en Datos ............................................................................................... 16
4.1. Propósito, Objetivos y Alcance..................................................................................... 16
4.2. Cumplimiento de los requisitos legales ........................................................................ 17
5. Plan de Seguridad en Sistemas .......................................................................................... 29
5.2. Requisitos de seguridad en los sistemas de información .............................................. 31
5.3. Tratamiento correcto de las aplicaciones ...................................................................... 32
5.4. Controles criptográficos ................................................................................................ 38
5.5. Seguridad de los archivos de sistemas .......................................................................... 39
5.6. Seguridad en los procesos de desarrollo y soporte ....................................................... 40
5.7. Gestión de la vulnerabilidad técnica ............................................................................. 44
6. Plan de Seguridad en Comunicaciones ............................................................................. 45
6.2. Responsabilidades y procedimientos de operación....................................................... 46
6.3. Gestión de la provisión de servicios a terceros ............................................................. 51
6.4. Planificación y aceptación del sistema ......................................................................... 54
6.5. Protección contra código malicioso y descargable ....................................................... 56
6.6. Copias de seguridad ...................................................................................................... 60
6.7. Gestión de seguridad en redes....................................................................................... 61
6.8. Manipulación de soportes ............................................................................................. 64
6.9. Intercambio de información .......................................................................................... 66
7. Plan de Seguridad en Control de Acceso .......................................................................... 68
7.2. Requisitos del negocio para el control de acceso .......................................................... 70
7.3. Gestión de acceso de usuario ........................................................................................ 71
7.4. Responsabilidades del usuario ...................................................................................... 74
7.5. Control de acceso a red ................................................................................................. 75
7.6. Control de acceso al sistema operativo ......................................................................... 82
7.7. Control de acceso a las aplicaciones y a la información ............................................... 87
7.8. Ordenadores portátiles y teletrabajo ............................................................................. 89
III
8. Plan de Seguridad Interna ................................................................................................. 90

8.2. Organización Interna..................................................................................................... 91
8.3. Terceros ........................................................................................................................ 98
8.4. Responsabilidad sobre los activos .............................................................................. 101
8.5. Clasificación de la información .................................................................................. 102
9. Plan de Seguridad para Personal .................................................................................... 104
9.1. Propósito, Objetivos y Alcance................................................................................... 104
9.2. Antes del empleo ........................................................................................................ 105
9.3. Durante el empleo ....................................................................................................... 109
9.4. Cese del empleo o cambio de puesto de trabajo ......................................................... 112
10. Plan de Seguridad en Medio Ambiente y Seguridad Física .......................................... 114
10.1. Propósito, Objetivos y Alcance .................................................................................. 114
10.2. Áreas seguras .............................................................................................................. 115
10.3. Seguridad en equipos .................................................................................................. 127
11. Plan de Seguridad para Gestión de Riesgos ................................................................... 132
11.2. Notificación de eventos y puntos débiles.................................................................... 133
11.3. Gestión de incidentes y mejoras ................................................................................. 136
11.4. Gestión de continuidad ............................................................................................... 139
12. Plan de Seguridad en Auditorias ..................................................................................... 142
12.2. Cumplimiento de las normas de seguridad y cumplimiento técnico........................... 143
12.3. Consideraciones de la auditorias en los sistemas de información............................... 145
12.4. Supervisión ................................................................................................................. 149
13. Plan Económico................................................................................................................. 152
13.2. Asunciones y Restricciones ........................................................................................ 152
13.3. Organización ............................................................................................................... 153
13.4. Costes .......................................................................................................................... 164
13.5. Implantación ............................................................................................................... 165
14. Conclusiones ...................................................................................................................... 166
15. Anexo A: Estudio de Amenazas....................................................................................... 167
15.1. Malware ...................................................................................................................... 169
15.2. Buffer Overflow .......................................................................................................... 176
15.3. Inyecciones SQL ......................................................................................................... 178
15.4. Denegación de Servicio .............................................................................................. 180
15.5. Ingeniería Social ......................................................................................................... 184
15.6. Matriz de Amenazas ................................................................................................... 188
16. Anexo B: Estudio de Infraestructura de Clave Pública ................................................ 189
16.1. Ciclo de Vida de Certificados ..................................................................................... 192
16.2. Componentes de la PKI .............................................................................................. 199
16.3. Comunicación en la PKI ............................................................................................. 203
16.4. eDNI y firma electrónica ............................................................................................ 205
17. Apéndice ............................................................................................................................ 206
17.1. Acrónimos................................................................................................................... 206
17.2. Bibliografía ................................................................................................................. 207
IV
Introducción Javier Ruiz-Canela López
1 INTRODUCCIÓN
1.1 Estado del Arte

Un estudio reciente del Instituto Nacional de Tecnologías de la Comunicación, Inteco
[Inteco08] pone en evidencia el gran atraso tecnológico de las pequeñas y medianas
empresas en nuestro país comparado con los principales países europeos y EE.UU. Las
causas que han llevado a esta dramática situación es sin duda debido a 3 grandes
factores: desconocimiento de las tecnologías y formación adecuada, falta de
concienciación respecto a la seguridad de la información y desconfianza en Internet
como medio para prestar servicios. En este estudio pone en evidencia que las empresas
españolas incumple la LOPD (Ley Orgánica de Protección de Datos personales) en un
56,2%. Sólo el 17,7% de las empresas realizan auditorias de seguridad y solo un 23,4%
de las empresas tiene una política de seguridad.
1.2 Justificación del Proyecto
En este contexto de seguridad es necesario una “alfabetización tecnológica” de las

empresas, surge la necesidad de garantizar un uso seguro de las tecnologías en todo tipo
de organizaciones. Para esta alfabetización hacen falta dos cosas: educación en
seguridad y un servicio de gestión de seguridad para la empresa. En este proyecto se
quiere proponer un servicio de gestión para la seguridad de empresa que a su vez da
especificaciones y recomendaciones para la educación en seguridad. El servicio se
engloba en lo que se llama como una arquitectura de seguridad. Una arquitectura de
seguridad es un conjunto de normas, procedimientos y buenas prácticas que definen la
seguridad de la información en una empresa. En dicha arquitectura tiene que quedar
definido todos los parámetros y roles que intervienen en la manipulación de la
información. También tiene que cumplir con las leyes que afectan a la manipulación de
datos. Y tener en cuenta las amenazas que pueden acechar a la seguridad de la
información de la empresa. Pero lo que el lector se estará preguntando ahora mismo es:
¿Cómo defino este tipo de normas? ¿Existe algún organismo que me ayude en la
organización de mi empresa?. La respuesta a estas dos preguntas se resume en tres
palabras: “la ISO 27002”.
Para ello se estudiarán los algoritmos de encriptación basados en curva elíptica dado las
ventajas que traen sobre los algoritmos de encriptación tradicionales. Y tomando como
base los mismos, se planteará una arquitectura de seguridad para sistemas de
información tomando como referencia la ISO 27002, la legislación española y los
procedimientos informáticos corporativos.
1
Algoritmos criptográficos Javier Ruiz-Canela López
2 ALGORITMOS CRIPTOGRÁFICOS
Una arquitectura de seguridad para un sistema de información está basada en la

utilización de sistemas de criptografía. Un sistema de criptografía fuerte o sistema de
clave pública proporciona la seguridad necesaria para proteger la confidencialidad de
los archivos de toda una organización, así como nos dan herramientas para identificar a
las personas que acceden a ellos. Existen dos tipos de criptografía, la criptografía
simétrica y la criptografía asimétrica. La criptografía simétrica usa una misma clave
para cifrar y descifrar mensajes encriptados mediante un algoritmos criptográfico. En el
proceso comunicativo las dos partes implicadas en la recepción y envío del mensaje
conocen de antemano el valor de la clave. El principal problema que presenta este tipo
de sistemas es que la seguridad está ligada al intercambio de claves. Esto implica que un
atacante podría interceptar la clave en el proceso de intercambio de claves. La
criptografía asimétrica solventa en parte este tipo de problemas. Está basado en la
utilización de dos claves, una privada para cifrar y otra pública para descifrar. En el
proceso de comunicación un agente cifra el mensaje con su clave privada y trasmite su
clave pública al destinatario para que pueda descifrar el mensaje. De este modo un
atacante no podrá hacerse pasar por el emisor del mensaje.
Los sistemas de cifrado tradicionales están basados en criptografía asimétrica basados

en la complejidad de los números primos. El procedimiento matemático está basado en
que una función algebraica es computacionalmente sencilla en un solo sentido pero la
resolución del problema inverso resulta extremadamente difícil. Por ejemplo, imagínese
multiplicar dos números primeros de los cuales sale un número compuesto la tarea no
resultada difícil. Lo que si resulta difícil, es la tarea de factorizar uno compuesto en sus
componentes primos. El 4 de Noviembre de 2005 un equipo de la Agencia Federal
Alemana para Seguridad de Tecnología de Información consiguió factorizar un número
de 193 dígitos decimales (Véase http://www.rsa.com/press_release.aspx?id=3520). Para
ello necesitaron el poder combinado de 80 CPUs Opteron AMD. Esto nos da una idea
de hasta qué punto los sistemas de criptografía asimétricos basados en números primos
son seguros. No obstante el futuro de la criptografía estará basado en sistemas basados
en curvas elípticas tal y como se explicará más adelante.
2
2.1 Algoritmos criptográficos de factorización discreta

El algoritmo asimétrico por excelencia usado actualmente para las infraestructuras de
clave pública, es el RSA [RSA09]. El algoritmo fue descrito en 1977 por Ron Rivest,
Adi Shamir y Len Adleman en el MIT; las letras RSA son las iníciales de sus apellidos.
El RSA es un algoritmo asimétrico de cifrador de bloques. En Criptografía, una unidad
de cifrado por bloques (block cipher en inglés) es una unidad de cifrado de clave
simétrica que opera en grupos de bits de longitud fija, llamados bloques, aplicándoles
una transformación invariante. Cuando realiza cifrado, una unidad de cifrado por
bloques toma un bloque de texto en claro como entrada y produce un bloque de igual
tamaño de texto cifrado. La transformación exacta es controlada utilizando una segunda
entrada, la clave privada. El descifrado es similar: se ingresan bloques de texto cifrado
y se producen bloques de texto en claro. Los mensajes enviados usando el algoritmo
RSA se representan mediante números y el funcionamiento se basa en el producto de
dos números primos grandes elegidos al azar para conformar la clave de descifrado. El
proceso de cifrado con un algoritmo RSA es el siguiente:
1. Escogemos dos números primos, por ejemplo p=3 y q=11.
2. n = 3 * 11 = 33.
3. fi(n) = (3-1) * (11-1) = 20.
4. Buscamos e: 20/1=0, 20/3=6.67. e=3.
5. Calculamos d como el inverso multiplicativo módulo z de e, por ejemplo,

sustituyendo Y por 1,2,3,... hasta que se obtenga un valor entero en la expresión:
d = ((Y * fi(n)) + 1) / e = ( Y * 20 + 1) / 3 = 21 / 3 = 7
6. e=3 y n=33 son la clave pública.
7. d=7 y n=33 son la clave privada.
8. Cifrado: Mensaje = 5, C = M^e mod n = 5^3 mod 33 = 26
9. Descifrado: M = C^d mod n = 26^7 mod 33 = 8031810176 mod 33 = 5
3
En 1976 Whitfield Diffie y Martin Hellman publicaron un protocolo criptográfico

(JSH506). Dicho protocolo permite que dos partes que no tienen conocimiento previo
unos de otros establecer conjuntamente una clave secreta compartida a través de un
canal de comunicaciones inseguro. Esta clave puede ser utilizada para cifrar
comunicaciones utilizando un sistema de cifrado simétrico.
Sujeto A Sujeto B
.a,p son
Intercambio de Pretratamiento
enteros y
largos
HD
Priv A= Número Entero Largo Priv B= Número Entero Largo

Claves
Pub A
PubA=aPrivA(modp) PubB=aPrivB(modp)
Pub B
Creación
Claves
Z=PubBPrivA(modp) Z’=PubAPrivB(modp)
Z=Z’
(5) Diffie Hellman
Como se puede observar en el recuadro superior el funcionamiento de este algoritmo es

bastante sencillo. El primer paso llamado pretratamiento HD consiste en establecer dos
números a y p largos para los dos y dos claves privadas (enteros y largos) que solo
estarán en conocimiento para cada individuo. A continuación se genera una clave
pública en las dos partes con los parámetros del pretatamiento y se intercambia las
claves. Después con la clave pública recibida se genera una clave en las dos partes.
Dicha clave generada en las dos partes son iguales y se conoce como clave de sesión.
Un problema asociado a este algoritmo sería el conocido como "hombre en el medio"

(mitm, man-in-the-middle). Que consiste en que un tercero se pueda adueñar de las
claves públicas durante el proceso de intercambio de claves.
4
2.2 Algoritmos criptográficos de Curva Elíptica (ECC)

Como se mencionó anteriormente los sistemas criptográficos asimétricos utilizan dos
claves: una privada para cifrar y otra pública para descifrar. Tal y como se conciben
estos algoritmos la clave pública no puede darnos información determinante para la
obtención de la clave privada. Esto es debido a que estos algoritmos se basan en la
dificultad matemática de encontrar solución a ciertos problemas de logaritmos discretos.
Por ejemplo, dada la ecuación ab =c encontrar el valor de b con a y c valores conocidos,
esto puede tener una gran complejidad computacional para ciertos grupos finitos de gran
tamaño: mientras el problema inverso, la exponenciación discreta puede ser evaluado
eficientemente usando exponenciación binaria*.
Las curvas elípticas vienen dadas por una curva plana definida por la siguiente
ecuación:
2 3
1. y =x + xa + b donde y, x ∈ ℝ y a, b ∈ G
Con un conjunto de puntos G que forman la curva incluyendo el punto en el infinito

más una operación aditiva +, se forma un grupo abeliano*. Si las coordenadas “y” e “x”
se escogen desde un campo finito, entonces estamos en presencia de un grupo abeliano
finito. El problema del logaritmo discreto sobre este conjunto de puntos (PLDCE) se
cree que es más difícil de resolver que el correspondiente a los campos finitos (PLD).
De esta manera, las longitudes de claves en criptografía de curva elíptica pueden ser
más cortas con un nivel de seguridad comparable.
ECDSA
El algoritmo de curva elíptica de Firma Digital (siglas en inglés ECDSA(Jonson01)) es

una modificación del algoritmo DSA, que emplea operaciones sobre puntos de curvas
elípticas en lugar de factores de primos como los algoritmos tradicionales. Existen dos
tipos de curvas dependiendo del campo finito en el que se definan por GF (p) o por GF
(2m). El campo finito aberiano GF (2m) que contiene q = 2m elementos, donde m es un
entero positivo. Y el campo finito aberiano GF (p) que contiene q= p elementos, donde
p es un número primo.
Como se observa en el cuadro (5), ECDSA interviene en una PKI para:
o Generación de claves
o Firma Digital
o Certificación
*RSA security, empresa reguladora de los protocolos PKCS.
5
Para la fase de generación de claves bajo parámetros GF (p) se tiene que realizar los
siguientes pasos:
1. Un campo de tamaño q = p subyacente que define el campo finito GF. Con

dos elementos de ese campo “a” y una “b” en GF se definen la ecuación de
la curva elíptica E (1).
2. Dos elementos de campo “x” e “y” en GF que definir un punto P = (x, y) de
primer orden en la ecuación 1. El orden n de la letra G debe ser el caso de
que n> 2160 y n> 4√q).
3. Seleccione aleatoriamente un número aleatorio d en el intervalo [1, n - 1].
4. Calcule Q = dP.
5. d será la llave privada.
6. Q será la llave pública.
Para la fase certificación con campo finito GF (p) se tiene que seguir los siguientes
pasos:
1. Generación valor hash: Calcular un valor hash e’=H (M’) usando la función
hash SHA-1* .Representar el valor mediante un entero de 160 bits.
2. Cálculos de la curva elíptica: Seleccione un único calor entero “k” en el
intervalo [1, n-1]. Calcular los puntos de la curva elíptica (x,y)=kG.
3. Moldeado de los cálculos: Convertir el valor “x” a entero, calcular r = x mod n.
Si r=0 entonces volver a paso 1, sino calcular s = k-1 (e + dr) mod n. Si s=0
entonces volver a paso 2.
4. La firma de M será los dos enteros “s” y “r”.
Para la fase certificación con campo finito GF (2m) se tiene que seguir los siguientes
pasos:
1. Generación valor hash: Calcular un valor hash e’=H (M’) usando la función
hash SHA-1* .Representar el valor mediante un entero de 160 bits.
2. Moldeado de los cálculos: Sea “r” y “s” enteros que no están en el intervalo
[1, n-1]. Calcular c = (s') -1 mod n y u1 = e'c y u2 mod n = r'c mod n.
3. Cálculos de la Curva elíptica: Calcular los puntos de la curva elíptica

(x,y)=u1P+u2Q.
4. Chequeo de la Firma: Convertir el valor “x” a entero, calcular v=x1mod n. Si
r’=v, entonces se verifica la firma y el mensaje ha sido envidado por el dueño de
la clave privada d.
Firma digital* como la firma ológrafa (autógrafa, manuscrita), puede vincularse a un documento para identificar al autor y asegurar
que el contenido del mismo no ha sido modificado.
SHA-1* es un algoritmos de funciones hash dado por el ANSI X9.30.
Exponenciación binaria* potenciación por cuadrados o elevar al cuadrado y multiplicar. Xa+b =XaXb
grupo abeliano* es un grupo (que se denota con (G, *) ), tal que: a*b=b*a para todos los elementos a, b ∈ G.
6
MQV
MQV [Kraw05] es la abreviatura de Menezes-Qu-Vanstone, los autores de este

protocolo de encriptación de curva elíptico, que es una evolución del algoritmo Diffie-
Hellman. Ofrece una mayor garantía en la autentificación entre entidades, para que las
claves no sean conocidas por terceros. También tiene la ventaja de la encriptación de
curva elíptica que ofrece unos pasos no intensivos para el cálculo de las claves.
HMQV
HMQV [Kraw05] esta variante del protocolo MQV utiliza una función hash para dar un
mayor rendimiento que su homólogo. Las ventajas que presenta con respecto a su
predecesor son las siguientes:
o HMQV no requiere pruebas de verificación de claves públicas, ya que la

identidad de cada individuo está asegurada mediante el cálculo de función hash.
o HMQV no requiere el uso de co-factor para comprobar la vulnerabilidad de las
claves privadas a lo largo del proceso de negociación.
Intercambio de Claves MQV/HMQV
Para poder entender mejor las mejoras los protocolos MQV y HMQV se analizará como
se realiza una negociación de claves con MQV\HMQV. Para ayudar a la explicación se
apoyara en el siguiente esquema:
Entidad Agente
.a,g,p b
Pretratamiento
A=g a mod p g,p,A

B =g b mod p
HD
Y=yP X =xP
B
e=2 l + Y mod 2 l
HMVQ MVQ
d =2 l + X mod 2 l
e=H(Y , A ) y=H(X , B )
x + db
Creación
p a =(Y. B e )
y + ea p b =(X. A d )
Claves
K =H(p b )=H(p a )
(6) Negociación de Claves MQV/HMQV
7
Negociación de claves con los protocolos MQV y HMQV:
1. El primer paso en la negociación entre la entidad y el agente es el pretratamiento

DH.
1.1. Se establecen un primo p y un generador g ∈ Z*p (conjunto de números reales

con factor de generación p) estos números son de conocimiento público. Y una
ecuación elíptica P= y2 = x3 +xa+b con números aleatorios a,b ∈ Z*.
1.2. La entidad genera un (Y,y), un punto perteneciente a la elipse P (Y=yP).
También genera un número a ∈ Z*p y envía al agente el número A (A= ga mod p),
el generador g y el número primo p.
1.3. El agente genera un (X,x) un punto perteneciente a la elipse P (X=xP). También
genera un número b ∈ Z*p y envía al agente el número B (B= gb mod p).
2. El segundo paso depende de según se utiliza MQV y HMQV.

Si se utiliza MQV:
o En la entidad se genera un número “e” con la formula e= 2l+Y mod2l, siendo
l=p/2.
o En el agente se genera un número “d” con la formula d=2l+X mod2l siendo
l=p/2.
S se utiliza HMQV:
o En la entidad se genera un número “e” con la formula e=H(Y,A) siendo H

un algoritmo hash.
o En el agente se genera un número “d” con la formula d=H(X,B) siendo H
un algoritmo hash.
3. El tercer y último paso es la generación de la clave privada es el mismo tanto con

MQV como con HMQV.
o En la entidad se genera un número pa con la formula pa = (Y Be)y+ea.

o En el agente se genero un número pb con la formula pb=(X Ad)x+db.
o Una vez generados pa y pb se genera el número K como K=H(pa)=H(pb)
que es el mismo para el agente y la entidad. Ambas partes lo calculan por
separado pero el resultado es el mismo por lo que se puede utilizar como
clave compartida.
Sin embargo, el protocolo MQV es sensible a ataques activos del tipo "hombre en el
medio" (mitm, man-in-the-middle). Si la comunicación es interceptada por un tercero,
éste se puede hacer pasar por el emisor cara al destinatario y viceversa, ya que no se
dispone de ningún mecanismo para validar la identidad de los participantes en la
comunicación. Este problema se solventa con el uso de la entidad de certificación pues
da seguridad en la comunicación entre agentes. En el protocolo HMQV este problema
no se da ya que la identidad de cada individuo está asegurada mediante el cálculo de
función hash.
8
2.3 Ventajas de los algoritmos de curva elíptica sobre los

algoritmos clásicos
Los sistemas de información en general son sistemas que disponen de recursos
limitados: potencia, memoria, ancho de banda, capacidad de transmisión. Los sistemas
de seguridad clásicos requieren del uso de memoria adicional y tiempo de procesador.
Un reciente estudio [Krasn04] demuestra que los algoritmos de curva elíptica (ECC) dan
una mayor seguridad con un menor coste en recursos que los sistemas de criptografía
tradicionales. A continuación destacaremos las ventajas del uso de los sistemas ECC:
-Los algoritmos de encriptación elíptica son más rápidos que los tradicionales. El
tiempo de respuesta de encriptación a 128 bit para un algoritmo clásico es de 670 ms y
para un ECDSA es de 7 ms.
-Los sistemas de encriptación ECC necesitan menos memoria que los algoritmos
tradicionales. El tamaño de una clave para un algoritmo hash SHA-1 con RSA es de
1024 bits mientras que para un ECC es de 192 bits.
-El ancho de banda consumido por los sistemas ECC es menor que los sistemas
tradicionales. Los bits payload reservados en las cabeceras IP son de 326 para RSA y
para MQV son de 41.
- Los servidores webs son 3.5 veces más seguros utilizando algoritmos ECC que
algoritmos de factorización discreta. El tiempo de respuesta entre cliente y servidor es
mucho menor tal y como se muestra en el gráfico siguiente:
(7) Rendimientos en ms entre RSA y ECC.
9
2.4 Aplicaciones de los algoritmos de curva elíptica

La criptografía de curva elíptica (ECC) está basado en la estructura algebraica de curvas
elípticas sobre campos finitos. El uso de la ECC puede ser más rápido y usar claves más
cortas que los métodos asimétricos antiguos al tiempo que proporcionan un nivel de
seguridad equivalente como se ha visto antes.
Una arquitectura de seguridad para un sistema de información se basa en el uso de

criptografía para poder proteger sus archivos. Para codificar un archivo es necesario
tener un algoritmo que haya irreconocible su contenido. También necesitaremos un
sistema de claves para que solo puedan se accedido por las personas que se quiera
(véase Anexo B). Como hemos podido observar los algoritmos MQV y HMQV tienen
un problema por la transmisión de claves y el ECDSA necesita una comunicación
segura a través de una sección de clave. La mejor forma de sacar partido a estos dos
claves es una combinación de las mismas como se muestra en el recuadro 8.
PKCS#13 es un estándar de criptografía para el uso de algoritmos asimétricos basados

en curvas elípticas. Es sin duda alguna una aplicación real para la creación de una
infraestructura de clave pública PKI imprescindible en cualquier arquitectura de
seguridad. Para ello utiliza los algoritmos de la norma X9.62 de la American National
Standard* que define el algoritmo ECDSA y la norma P1363 del IEEE que define el
protocolo MQV y su mejora el HMQV.
Generación Firma Certificación

de Claves Digital Encriptación o
intercambio
de claves
ECDSA X X X
MQV/HMQV X X X
(8) Relación algoritmo ECC y servicios
American National Standard* organismo estatal norteamericano para la homogeneización de estándares tecnológicos
10
Política de Seguridad Javier Ruiz-Canela
3 POLÍTICA DE SEGURIDAD
3.1 Política basada en planes de seguridad
La Organización Internacional para la Estandarización o ISO es una organización que se
dedica a la implantación de estándares o de normas de productos y seguridad. Están
destinadas a las empresas u organizaciones a nivel internacional. Para la ISO, la
información es un activo vital para el éxito y la continuidad en el mercado de cualquier
organización. La seguridad de dicha información y de los sistemas que la procesan es
por tanto un objetivo de primer nivel para la organización. Para llevar a cabo ese
objetivo plantean para la seguridad de la información la ISO 27002 [ISO07]. La ISO
27002 es una guía de buenas prácticas para la elaboración de una política de seguridad.
La norma propone un sistema de gestión de seguridad de la información que cubre
todos los aspectos jurídicos y técnicos en la creación, manejo y eliminación de la
información.
Para poder definir los planes de seguridad la norma se compone en 10 áreas ,36
objetivos y 127 controladores de seguridad. En estas 10 secciones cubre todos los
aspectos jurídicos y técnicos en la empresa. La apuesta de este proyecto es la de cubrir
todas esas secciones de forma que se plantea una política de seguridad (no se contempla
el comercio electrónico) para la empresa que cubre todas las necesidades de la empresa
para la seguridad de sus sistemas de información. Para ello la política se subdivide para
cada uno de estas secciones en planes de seguridad en cada uno de ellos se analizarán de
forma detallada los controles propuestos por la ISO. Para conseguir este objetivo se
tendrá como referencia los conocimientos adquiridos durante la licenciatura de
ingeniería en informática, la situación legal vigente en España y las recomendaciones de
buenas prácticas dadas por los principales organismos internacionales: ISSA, ISO,
SIA...etc. En el cuadro de abajo se presenta la relación planes y áreas:
Áreas Planes
Organización de la Seguridad Plan de Seguridad Interna
Clasificación y control de activos Plan de Seguridad Interna
Seguridad ligada al personal Plan de Seguridad para Personal
Plan de Seguridad Medioambiental y Seguridad
Seguridad física Física
Seguridad lógica Plan de Seguridad en Comunicaciones
Control de acceso Plan de Seguridad en Control de Acceso
Mantenimiento y desarrollo de los
sistemas Plan de Seguridad en Sistemas
Plan de Seguridad para Auditorias
Plan de Seguridad para Incidentes y
Continuidad de negocio Continuidad
Cumplimiento con la legislación
vigente Plan de Seguridad en Datos
(9) Relación áreas planes
11
3.2 Documento de política de seguridad de la información

Para redactar un documento de política de seguridad de la información hay que tener
claro cuáles van a ser los objetivos a cumplir. Dicho documento debe recoger las
características generales en seguridad de la información así como las características
particulares de la organización a la que se aplica dicha política. El objetivo de este
proyecto es proporcionar dichas características generales como referencia para la
elaboración de buenas políticas de seguridad.
La información tiene tres características fundamentales: su estructura, su manipulación

y la comunicación de la misma. La información es otro bien de trabajo en cualquier
organización. La forma en la cual está estructurada y la naturaleza de la misma debe de
ser contemplada antes de cualquier proceso. En el plan de seguridad en datos lo que se
recoge es una proposición de cómo debería de ser estructura de la información en
cualquier organización de forma genérica. La manipulación de la información define el
proceso productivo de una empresa. Dicho proceso tiene que ser protegido por un factor
importante, el colapso. Si las herramientas utilizadas en el proceso productivo son
dañadas el output de nuestra cadena productiva será defectuoso. En este plan de
seguridad en sistemas lo que se recoge es una proposición de una jerarquía de
herramientas según su implicación en el modelo productivo, lo que ayudaría a redactar
la parte genérica de la política de seguridad en la organización. En el plan de seguridad
de seguridad en comunicaciones se creará una serie de reglas para las comunicaciones
extra-organizativas e inter-organizativas. Entendiendo por extra-organizativas,
comunicaciones entre la organización con agentes externos que intervienen en la lógica
de negocio. Y por inter-organizativas, comunicaciones entre agentes internos de la
organización.
En toda corporación hay mecanismos de organización para poder realizar las tareas
productivas de forma eficiente. En el plan de seguridad interno se describe como tiene
que organizar la corporación para poder llevar sus tareas comunes con seguridad. Como
afecta la seguridad a la organización interna de la empresa, cual es la relación a tener
con las autoridades y cuales deben de ser los mecanismos para garantizar la seguridad a
los clientes. También quiere dejar constancia de los activos en la empresa, según una
escala de importancia en cuanto a seguridad y cuales serian las directrices a seguir en la
clasificación de la información.
El factor humano es sin duda un factor fundamental en el planteamiento de una buena

política de seguridad. Se pueden adoptar todas las medidas de seguridad físicas y
lógicas existentes pero sin compromiso del personal de la organización todas esas
medidas serán inútiles. El plan de seguridad para personal quiere crear una jerarquía
organizativa en cuanto a seguridad. Recoge las responsabilidades del empleado tanto
durante como después de su contrato laboral.
12
El procesamiento de la información necesita la utilización de una estructura física de

trabajo fiable y seguro. Como hacer una distribución correcta que resulte eficaz y segura
es el objeto del plan de seguridad medioambiental y seguridad física. En este plan se
quiere organizar por zonas las estaciones de trabajo, servidores y demás elementos
físicos intervinientes en el procesamiento de la información. También se quiere
emplazar cual sería la seguridad en los equipos y las instalaciones. Para poder realizar
un perímetro de seguridad como el propuesto en el plan de seguridad medioambiental y
seguridad física necesitaremos un control de acceso. De nada sirve delimitar las zonas
de trabajo si no se tiene un sistema de gestión de acceso. El plan de seguridad para
control de acceso propone definir una gestión de acceso para usuarios tanto a nivel de
red, como a nivel de aplicaciones y de sistema operativo.
La seguridad en informática no se puede asegurar al cien por cien como no se puede

asegurar matemáticamente que un programa informático no falle. El plan de seguridad
para incidentes y continuidad es una salvaguarda para la política de seguridad de la
empresa. En dicho plan se expone una gestión de incidentes y mejoras con el fin de
poder mejorar nuestra política. Todo este mecanismo de control que se propone en
forma de planes que deben de ser monitorizado y controlado. En el plan de seguridad
para auditorias se da herramientas para medir la eficacia de la política de seguridad, así
como crear la figura de un responsable en seguridad encargado de velar por el correcto
funcionamiento de la política de seguridad.
13
3.3 Revisión de la política de seguridad de la información
Definir una política de seguridad

Evaluación de los riesgos
Inventario de activos
Análisis y evaluación de Riesgos
Selección de controles
PLAN
Definir plan de impacto

Definir un plan de implantación
Implementar controles
Implantar mejoras Formación y Concienciación
Acciones correctivas
Acciones preventivas REVISAR HACER
MONITORIZAR
Revisar el SGSI
Medir eficacia de los controles
Realizar auditorias internas de la SGSI
Registrar acciones y eventos
(10) Ciclo de Vida (ISO07)
La ISO propone una serie cíclica de cuatro estados para la revisión continua de una
política de seguridad. Dicho plan se compone de cuatro estados: Plan, Hacer,
Monitorizar y Revisar.
Plan
El estado Plan se corresponde con la fase de control de redacción del documento de la
política de seguridad. Antes de la realización del mismo hay que tener el visto bueno de
la dirección de la empresa. También se tiene que realizar un inventario de activos y una
evaluación de riesgos que viene determinada por un estudio de la información sensible y
el manejo de la misma. Por información sensible se entiende aquella de afecte
considerablemente al ciclo productivo de la empresa. Después de ello se procederá a
elegir los controles de seguridad necesarios para la seguridad del sistema de
información de dicha organización.
14
Hacer
El estado Hacer se corresponde con la implantación de la política de seguridad. Para
ello se tiene que tener en cuenta el impacto que puede provocar en la organización y
plantear mecanismos de seguridad en caso de fallo con la redacción de un plan de
impacto.
También se tendrá que definir un plan de gestión para la implantación de la política

donde se especifique un responsable de implantación y un equipo de trabajo, así como
una planificación de actividades. Por último hay que formar y concienciar al personal de
la organización sobre la importancia de la seguridad en la empresa. Como resultado de
esta implantación resultará un sistema de gestión de la seguridad de la información
(SGSI).
Monitorizar
Este fase se corresponde con la fase de monitorización en ella se quiere controlar el
correcto funcionamiento del sistema de gestión de la seguridad (SGSI). Para ello se
tendrá que medir la eficacia de los controles implantados, realizar auditorías internas y
registrar toda acción u evento acontecida en el sistema.
Revisar
En esta última fase se pretende realizar una re-edición de la política de seguridad con el
fin de poder mejorar los defectos o carencias de anteriores ediciones. Para ello se deben
de tomar acciones correctivas con la incorporación o eliminación de controles de
seguridad. Y acciones preventivas con cambios en aquellos controles con poca eficacia.
La nueva edición de la política de seguridad debe de contar con el respaldo de la
dirección de la empresa.
15
Plan de Seguridad en Datos Javier Ruiz-Canela López
4 PLAN DE SEGURIDAD EN DATOS

4.1 Propósito, Objetivos y Alcance
Propósito
El propósito de este plan es crear unas normas de uso para el tratamiento de la

información en un entorno empresarial. Las normas previstas para el cumplimiento de
dicho plan son las siguientes: La Ley de Datos de Carácter Personal (LOPD) que es de
obligado cumplimiento para todas las empresas españolas y la ISO 27002 guía de buena
práctica de controladores recomendados para la seguridad. Para ello se tiene que definir
los distintos tipos de datos, el tratamiento de esos datos, la forma de transmisión y las
personas que interviene en el ciclo de manipulación de datos.
Alcance
El alcance de dicho plan se aplica a la totalidad de la empresa y a sus relaciones. Es

decir a todos los usuarios de la empresa sean internos o externos. Así como a los
proveedores, socios y demás organismos empresariales que intervengan en la
manipulación de datos.
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con el
capítulo 15. A continuación una lista se muestra los controles tratados en este plan:
15. Cumplimiento
15.1. Cumplimiento de los requisitos legales
15.1.1. Identificación de la legislación aplicable
15.1.2. Derechos de Propiedad intelectual (DPI)
15.1.3. Protección de documentos en la organización
15.1.4. Protección de datos y privacidad de la información personal
15.1.5. Prevención de uso indebido de los recursos de tratamiento de la
información
16
4.2 Cumplimiento de los requisitos legales
Identificación de la legislación aplicable
España es un país donde el tratamiento de la información es un tema controlado por ley.

Ello es debido a la necesidad de proteger la información de carácter personal en
cualquier transacción ya sea pública o privada.
La LOPD, Ley Orgánica de Protección de Datos de carácter personal [LOPD99] cubre

dicha necesidad. La ley fue aprobada por el parlamento español el 13 de diciembre de
1999. La LOPD es de obligado cumplimiento para todas las empresas en territorio
español y para las empresas de fuera de España. También para aquellas empresas que
tengan una relación estratégica o comercial con una empresa de España; en la que haya
un tratamiento de datos de carácter personal.
Según el tipo de información que contengan los ficheros, se clasifican en tres niveles:
Nivel de Seguridad Requisitos

Nivel mínimo aplicable a todos los ficheros que contengan datos de
BASICO
carácter personal (nombre y apellidos, DNI, teléfono, domicilio, etc.)
Aplicable a aquellos ficheros que contengan datos relativos a la comisión
de infracciones administrativas y penales, los propios de las
MEDIO
Administraciones Tributarias, los propios de entidades financieras y de
solvencia y crédito.
Aplicable aquellos ficheros que contengan datos relativos a ideología,
afiliación sindical, religión, creencias, origen racial, salud, vida sexual;
ALTO
datos recabados con fines policiales sin consentimiento de las personas
afectadas; datos derivados de acciones de violencia de género.
(11) Niveles de seguridad
Esta organización de fichero se aplica a todos los documentos digitales en una empresa
española. Los ficheros tienen que dejar constancia de su existencia en la Agencia de
Protección de Datos. La Agencia de Protección de Datos es un organismo
administrativo que regula el cumplimiento de la LOPD en todo el territorio español.
Cada uno de los ficheros tiene un tratamiento específico que obliga a tomar una serie de
medidas a toda organización. [https://www.agpd.es/portalweb/canalresponsable/
inscripcion_ficheros/index-ides-idphp.php] Dichas medidas se detallan en el apartado
de protección de documentos en la organización.
17
o LOPD y redes sociales
Las redes sociales son la última revolución de Internet. Ha cambiado el concepto de

relación entre las personas y la red de redes de manos de las posibilidades que da la
tecnología web 2.0, donde la interactividad cobra gran importancia. El auge de este tipo
de negocios, donde su objetivo es la captación masiva de usuarios y sus beneficios
vienen dados por publicidad, suscita una serie de amenazas en cuanto a la intimidad y
honor de las personas.
El problema de las redes sociales radica en que no garantizan la integridad y

confidencialidad de los datos de carácter personal [Inteco09]; lo que choca frontalmente
con la legislación española. Para comprender el problema hay que ir a sus orígenes. Las
redes sociales nacieron en las universidades como herramientas para el intercambio de
archivos. Cuando se empezó a comercializar la idea no se realizo un estudio de empresa
adecuado. Los motivos que llevan a pensar en ello es que las tecnologías en las cuales
se apoyan no estaban pensadas para una escalabilidad masiva. Si a esto le sumamos el
desconocimiento de la seguridad que tienen los usuarios. Tendremos como resultado un
peligro potencial que puede hacer mucho daño a las personas.
Las consecuencias del mal uso de las redes sociales son la vulnerabilidad de la
intimidad de las personas. En España, la ley Orgánica 1/1982 Protección Civil del
Derecho al Honor y la Intimidad Personal garantiza la dignidad de las personas y su
imagen. Del mismo modo, la Ley Orgánica de protección de Datos de Carácter Personal
[LOPD99) garantiza que el usuario tiene derecho al acceso, cancelación y modificación
de sus datos personales. La Ley de Propiedad Intelectual [LPI96] da derechos al autor
por su creación, por lo que las empresas tienen derecho con sus productos. Por lo tanto
las redes sociales que ofrezcan sus servicios en España deben de asegurarse de lo
siguiente:
o Al dar de alta a un usuario, deben garantizar la integridad y confidencialidad de

los datos. Del mismo modo, deben de garantizar una protección especial al
menor (Real Decreto 1720/2007) en el que a los menores de 14 años tengan el
consentimiento de sus padres para el uso de la red y funcionalidad limita.
o El uso de la red debe de garantizar los datos de carácter personal. El usuario que
utilice información de terceros sin consentimiento debe de ser denunciado a las
autoridades y eliminado su acceso a la red.
o Deben de garantizar el uso de publicidad veraz y transparente. Así como de
garantizar los derechos de autor recogidos por la ley. Para ello, se aconseja
seguir los consejos de la OWASP (Organización para el desarrollo de web
seguras).
o Al dar de baja al usuario, deben de garantiza el borrado total de los datos de
carácter personal.
Ejemplo de cumplimiento de estas recomendaciones es la red social española Tuenti,

que no permite la indexación por parte de buscadores. Además establece una
configuración por defecto del máximo grado de privacidad a los usuarios. Sin embargo
un mal uso lo da la red social americana Facebook; pues no borra la información de los
usuarios que se dan de baja y acumula muchas denuncias por parte de la agencia
española de protección de datos.
18
o LOPD y salud
El ámbito sanitario y los datos de carácter personal generan una seria de dudas que
afectan de forma considerable a los derechos de los trabajadores. Por ejemplo, se
considera datos de salud la estatura de una persona, o el reconocimiento médico anual o
una recete médica. Es lícito, despedir a una persona por motivos de salud. La respuesta
a estas preguntas no tiene fácil solución sin embargo la Ley Orgánica de Protección de
Datos de Carácter Personal [LOPD99] marca una serie de pautas de actuación en el
ámbito de los datos de salud.
El artículo 8 de la ley de protección de datos, podrán proceder al tratamiento de los

datos de carácter personal relativos a la salud de la persona las instituciones, centros
sanitarios públicos y privados y los profesionales de corresponda; siempre y cuando
tenga el consentimiento del afectado.
Sin embargo la ley no especifica que son datos relativos a salud y remite la definición a
los acuerdos entre legislación estatal o autonómica sobre sanidad. Eso se traduce en que
en cada comunidad autónoma habrá unos datos que se considere de salud y otro que no
se consideren de salud.
Pero el nexo en común de la definición de datos de salud es que serán de carácter

personal, cuando dicha información venga con nombre y apellidos del interesado o con
su número de DNI. Por lo que entrará dentro de los términos de la ley. Si además, dicha
información coincide con datos de salud según la comunidad autónoma donde se genere
el fichero. Este deberá de disponer de medidas de seguridad especiales a un fichero de
nivel alto (véase protección de datos y privacidad de la información personal).
Los datos de salud estarán en conocimiento del profesional a los cuales vaya destinado.
Sin embargo estos datos podrán ser cedidos en los casos que disponga la ley. Pero estos
datos solo podrán ser cedidos a las autoridades de las consejerías de sanidad o
Ministerio de Sanidad. Por ejemplo, en los casos de gripe A las autoridades sanitarias
tienen derecho a conocer los datos sanitarios de la población de riesgos, incluso de
obligar a una vacunación masiva si supone un riesgo de salud pública.
La persona que padezca de enfermedades contagiosas no tiene porque declararlas en un

hipotético proceso de contratación. Ahora bien, los efectos que esta puedan acarrear son
de responsabilidad de dicha persona. Ejemplo, una persona seropositiva no tiene porque
declarar su enfermedad. Del mismo modo, despedir a una persona por tener una
enfermedad se considera discriminación [RDET95]. Pero también es posible exigir un
examen médico a los aspirantes a un puesto de trabajo, sobre todo si están relacionados
con la manipulación de alimentos, sustancias nocivas o peligrosas.
19
Derechos de Propiedad Intelectual (DPI)
La propiedad intelectual es un conjunto de derechos que corresponden a los autores y

otros titulares respecto de las obras y prestaciones fruto de su creación. Dichos derechos
están reconocidos por ley mediante la Ley de Propiedad Intelectual [LPI96] aprobada el
12 de abril de 1996. En esta ley se destacan los siguientes puntos:
o La propiedad intelectual de cualquier obra se corresponde al autor por el solo

hecho de su creación.
o Los derechos morales hacen referencia al reconocimiento de la condición de
autor de la obra y exige respeto a la integridad de la obra y la no alteración de la
misma.
o Los derechos de carácter patrimonial son aquellos relacionados con la
explotación de la obra. Los derechos son exclusivos del titular, el cual está
autorizado a la compensación económica marcada por la ley pero no a la
prohibición de explotación de su obra.
o Los derechos compensatorios se dan en compensación por los derechos de
propiedad intelectual. Por ejemplo el derecho de copia privada que permite la
reproducción de la obra para uso exclusivamente privado del copista.
La LPI afecta de forma directa en el proceso productivo de una organización. Pues las
fuentes de información pueden estar ligadas a los derechos recogidos por esta ley. En
este caso se plantea dos escenarios posibles: uso de una fuente de información recogida
con los derechos de autor, protección de un producto propio mediante esta ley.
Para el uso de una fuente información recogida con los derechos de autor, hay que tener
claro el uso que se da al mismo. Puede utilizarse como medio para conseguir apoyo a un
producto o como parte de dicho producto. En cualquiera de los casos si se trata de una
herramienta informática hay que ver el tipo de licencia para determinar la acción a
realizar. El tipo de licencia de un producto informático es de tres naturalezas: software
libre, software privativo y software de dominio público. Las licencias de software libre
son un tipo de licencias en el que el uso del software no requiere compensación
económica pero la modificación puede presentar una serie de restricciones. El software
privativo es aquel que está protegida por los derechos de autor el cual permite su uso
bajo compensación económica y restringe el número de copias del mismo, además son
de código no abierto por lo que no permiten su modificación. Y por último el software
de dominio público aquel cuyo uso, copia o modificación es libre ya sea con ánimo
lucrativo o no. Para los casos mencionados anteriormente se recomienda el uso de
software de software libre si es parte del producto y de dominio público si se utiliza
como medio para conseguir ese producto. Pero en caso de no tener más remedio que
utilizar software privativo se tiene que tener en cuenta la limitación de copias, el precio
y la duración de la licencia.
20
En el caso de crear un producto propio que se desee que sea protegido mediante la LPI.
Se tiene que registrar en una oficina del Registro de Propiedad Intelectual, organismo
dependiente del ministerio de cultura, [http://www.mcu.es/propiedadInt/CE/
RegistroPropiedad/InscripcionDerechos.html] el registro es voluntario. También es
interesante remarcar que en España la licencia sobre un producto dura diez años según
esta recogido en la Ley de Marcas [LDM01]. En caso de un documento digital la mejor
manera de poder garantizar la propiedad de los datos es mediante la firma digital. La
firma digital es un método informático por el cual se garantiza la integridad de un
documento mediante el uso de un algoritmo criptográfico (véase plan de seguridad en
sistemas).
Protección de documentos en la organización
Según se ha podido ver en el apartado de identificación de la legislación aplicable, la

LOPD define una jerarquía de tres niveles para la identificación de sus archivos. No
obstante, esta división se puede subdividir de una forma más amplia. Las razones que
llevan a tomar esta decisión se encuentran en los principios sacados del estudio de
amenazas (véase Anexo A). En dicho estudio se puede observar que el objetivo del
cracker (criminal hacker) es la de obtener datos bancarios principalmente para su propio
lucro. Las empresas tienen que ser consientes del riesgos que esto implica. También se
ha de tener en cuenta otro tipo de datos a proteger en el mundo empresarial, este es el
que concierne a los datos empresariales.
En un mundo cada vez más competitivo la información sobre las estrategias de mercado
o de organización empresarial puede considerarse su precio en oro. Por estos motivos se
propone dividir aun más la jerarquía de datos. La nueva jerarquía propuesta sería la
siguiente:
Nivel de
Requisitos
Seguridad
Ficheros que contengan datos de carácter personal (nombre
BASICO
y apellidos, DNI, teléfono, domicilio, etc.)
Ficheros que contengan datos de carácter empresarial (NIF
MEDIO-BAJO
de la empresa, dirección, organización…)
Ficheros que contengan datos de infracciones
MEDIO
administrativas y penales.
Ficheros con datos tributarios Ficheros con datos
MEDIO-ALTO
financieros , de solvencia y crédito
Ficheros que contengan datos socialmente sensibles no
ALTO
comerciales
EXTREMO Ficheros que contengan datos de estrategia de empresa
(12) Niveles de Seguridad
21
La nueva estructura (12) se compone de cinco niveles: básico, medio-bajo, medio,

medio-alto, alto, extremo. El nivel de seguridad básico coincide con lo dicho en la
LOPD son ficheros de carácter personal, aquellas que identifiquen a una persona física
y/o jurídica. Este nivel no ha sido alterado pues no se ven indicios de necesidad de
índole empresarial. El nivel de seguridad medio se ha subdivido en tres niveles: medio-
bajo, medio, medio-alto. Las consideraciones que llevan a tomar esta medida son que
hay que dar una mayor protección a los datos empresariales y bancarios.
El nivel medio-bajo contiene información sobre la empresa, esta información podría ser
utilizada por competidores para hacer daño a la empresa. Esto lleva a pensar que se
merece un tratamiento más delicado que la simple protección de un fichero básico. El
nivel medio conserva lo dicho en la ley en cuanto a los datos administrativos y penales.
No obstante de este nivel se crea otro nuevo el medio-alto, este contiene datos bancarios
sensibles de ser atacados por ello se merece un nivel mayor de seguridad. El nivel alto
referente a datos socialmente sensibles por la ley carece de valor empresarial en un
principio. Pero no obstante se tiene que considerar al estar reflejado en la ley. Sin
embargo se recomienda evitar la creación de este tipo de ficheros.
El último nivel es el más importante, no está sacado de la ley pero se considera de vital
importancia en el mundo empresarial. Se refiere a los datos empresariales referentes a
estrategias de mercado. Dicha información marca la actuación de una empresa para un
periodo de medio a largo plazo. En manos mal intencionadas podrían llevar a una
empresa a perder millones de euros. Por eso no se debe escatimar en gastos en cuanto a
su protección.
Una nueva estructura de ficheros requiere unas nuevas medidas de seguridad. En la

LOPD, cada uno de los niveles superiores iba cogiendo las medidas de los niveles
inferiores (12). En esta nueva organización este comportamiento será respaldado y las
medidas a adoptar por la ley serán respetadas, no obstante se propondrán nuevas
medidas adaptadas a los nuevos datos empresariales.
El tipo de organización de ficheros
Extremo
esta creado se puede representar
como una pirámide (13). En dicha Alto
pirámide los ficheros básicos serían

SEGURIDAD
NIVEL DE
Medio-alto
los más abundantes y los que
formarían la base de esta pirámide. Medio
En el cuerpo de la pirámide estarían

Medio-bajo
todos los demás ficheros ordenados
por nivel de seguridad. En la cima Básico
de la pirámide estaría los ficheros

extremos que serían menos
CANTIDAD FICHEROS
abundantes por seguridad y
asumirían todas las cualidades de
(13) Relación cantidad/seguridad
sus predecesores. 22
La cantidad de ficheros también es un factor importante para la seguridad, cuantos

menos ficheros haya más barato y segura será su gestión. Si se tiene una gran cantidad
de datos de prioridad extrema la seguridad de los mismos se vería reducida
drásticamente porque necesitaríamos una gran cantidad de mecanismos de almacenaje
susceptibles de ser atacados por lo que aumentaría el riesgo.
Protección de datos y privacidad de la información personal
Según la LOPD las personas tienen que ser identificadas con uso de un nivel de acceso,
de ahí la necesidad de crear una jerarquía de privilegios. También resalta la importancia
de la integridad de los datos. La manipulación de los datos es un privilegio que debe de
ser contemplado; pues no se puede garantizar la integridad de los datos si en la jerarquía
de privilegios todos tienen la capacidad de modificar todos los ficheros. La cancelación
se considera la acción más importante debido a que en caso de buscar evidencias en
caso de delito dicha acción podría dificultar mucho la labor investigadora. Recopilando
estos tres consejos se propone la siguiente jerarquía de privilegios:
Ficheros MEDIO- MEDIO-

BASICO MEDIO ALTO EXTREMO
Usuarios BAJO ALTO
C2 C C C
C1 C C C C
B2 C C C C,Cr,M
B1 C,Cr,M C,Cr,M C,Cr,M C,Cr,M
A2 X X X X C,Cr,M
A1 X X X X X C,Cr
A+ X X X X X X
(14) Tabla Ficheros vs Privilegios de Usuario
Como se puede observar se necesitan tres niveles de seguridad

LEYENDA
para cubrir todos la organización de ficheros. Los niveles son:
C= consulta
A, B, C. El nivel C es solo un nivel de consulta y afecta a
Cr=Creación
aquellos archivos que no comprometen la seguridad de los M=Modificación
ficheros comerciales. Este nivel se subdivide en dos niveles, C1 E=Eliminación
y C2. El C2 está pensado para usuarios temporales que no X=Todos los
intervengan de forma directa en la actividad empresarial. privilegios
23
El subnivel C1 está pensado para usuarios temporales que intervienen de forma

indirecta en la actividad empresarial. El nivel B está pensado para usuarios que
intervengan de forma directa en la actividad empresarial. Este nivel se subdivide en dos
niveles: B1 y B2. El subnivel B2 está pensado para aquellos usuarios temporales o no
que intervengan de forma directa en la actividad de negocio. Dicho subnivel está
pensado para la mayoría de personal de la empresa, el cual tiene que manejar de forma
financiera diariamente. Dichos usuarios tendrán que estar registrados en el sistema. El
subnivel B1 es el primer nivel que permite el derecho de creación y modificación en los
archivos de carácter personal este nivel está pensado para el departamento de recursos
humanos por su tarea en la contratación del personal.
El nivel A es el nivel de mando, orientado al personal encargado de la gestión

organizativa de la empresa. Se subdivide en tres niveles: A1, A2, A+. El subnivel A1
está pensado para los cargos medios en la empresa (Gerentes, Jefes de
departamento…etc.). Estos podrán eliminar los archivos básicos y medios pero solo
podrán modificar los archivos altos. El subnivel A2 está pensado para la dirección de la
empresa y el administrador de seguridad. En dicho subnivel tendrán la potestad para
eliminar todos los archivos excepto los archivos extremos que tampoco podrán
modificar. El subnivel A+ está reservado para el máximo responsable de la seguridad de
la empresa, es decir para el director ejecutivo de la empresa. Él y solo él tendrá todos
los privilegios incluso el de poder eliminar todos los archivos.
24
Prevención de uso indebido de los recursos de tratamiento de la

información
Como se decía anteriormente una nueva estructura de ficheros requiere ajustar las
medidas de seguridad existentes y ajustar nuevas medidas en caso de que sea necesario.
En el cuadro (15) mostrado a continuación muestran las medidas de seguridad a tomar
según la nueva estructura de ficheros. Las medidas propuesta por la LOPD se han
mantenido. Sin embargo se han incluido nuevas medidas que son necesarias para
garantizar una mayor protección en los datos.
MEDIO- MEDIO-
TIPO DE FICHERO BASICO BAJO MEDIO ALTO ALTO EXTREMO
Fijar el Documento de Seguridad V V V V V V
Definir funciones y obligaciones del
personal V V V V V V
Crear un Registro de incidencias V V V V V V
Mecanismo de Identificación y
autenticación V V V V V V
Sistema de control de acceso lógico V V V V V V
Crear una gestión de soportes V V V V V V
Crear copias de respaldo y
recuperación V V V V V V
Designar un Responsable de Seguridad V V V V V
Crear un sistema de control de acceso
físico V V V V
Realizar auditoría bienal V V V V
No realizar pruebas con datos reales V V V V
Distribución de soportes V V V
Poseer un registro de accesos V V V
Cifrado de las telecomunicaciones V V
Doble cifrado de datos V
Identificación biométrica V
(15) Medidas de seguridad ampliadas
Como se puede apreciar las medidas a tomar son positivamente escalables para todos
los documentos. Con todo, en los ficheros extremos se sustituye el acceso lógico por
una identificación biométrica al considerar que da una mayor protección. Las medidas
de seguridad deben de ser iguales para todos los tipos de ficheros lo único que debe
variar es la cantidad de medidas a tomar. Para saber cómo implantar estas medidas se
analiza a continuación una a una de forma más exhaustiva.
25
 Fijar el documento de Seguridad
Dicho punto hace referencia a la necesidad de crear una política de seguridad para el
manejo de datos. Sin duda alguna este documento se ajusta a las demandas requeridas.
 Definir funciones y obligaciones del personal
En el apartado protección de datos y privacidad de la información personal del presente

documento se expone una jerarquía de privilegios en el cual se muestra quien tiene
derecho al acceso, manipulación y cancelación de los datos. Dicha jerarquía incumbe a
todo el personal de la empresa ya sea permanente o temporal.
 Crear un registro de incidencias
En la arquitectura informática de la empresa tiene que contemplar dispositivos para

garantizar el cumplimiento de estas medidas. Esta medida en concreto necesita de la
creación de un registro informático. Dicho registro informático será creado en un
servidor de monitorización y los datos de entrada serán aportados por el servidor de
base de datos que controle la creación, acceso, manipulación y cancelación de los datos.
Dicho servidor enviará mensualmente al servidor de monitorización el siguiente tipo de
información:
o Acceso a datos no autorizado, cualquier persona que según la jerarquía de

privilegios no pueda acceder a esos datos.
o Modificación de datos no autorizado, cualquier persona que según la jerarquía
de privilegios no pueda acceder a esos datos.
 Mecanismos de identificación y autentificación
Todo personal de la organización ya sea temporal o no debe de ser identificado. Dicha

identificación se realizará mediante tarjetas inteligentes en las cuales tiene que quedar
constancia de: su nombre, cargo en la empresa, nivel de seguridad y fecha de
emisión/expiración de la tarjeta inteligente. Además debe de ir acompañada de una foto
que identifique de forma inequívoca al portador de la misma.
 Sistema de control de acceso lógico
Cada puesto de trabajo debe de tener un acceso lógico, dicho acceso se realizará
mediante un proceso electrónico. En el cual, el usuario deberá introducir su tarjeta en un
mecanismo de tarjeta inteligente. La información contenida en el chip de la tarjeta será
contratada contra un servidor central de acceso.
26
 Crear copias de respaldo y recuperación
Está previsto que se cree un backup de todos los datos los cuales tiene que ser bienales.
El backup se debe de realizar en medios seguros tanto física como lógicamente. Al final
de cada backup el servidor de base de datos enviará un informe al servidor de
monitorización.
 Designar un Responsable de Seguridad
Se asignará una persona de la empresa encargada de vigilar el cumplimiento de lo aquí

estipula esta plan. El perfil de tipo de persona, sus obligaciones y derechos están
especificados en el plan de seguridad para auditorias.
 Crear un sistema de control de acceso físico
Las tarjetas inteligentes mencionadas anteriormente también juegan el doble papel de

identificador lógico y físico. Todo personal debe portarla para el acceso a las
instalaciones de la organización. Se permite la creación de zonas físicas de seguridad
con acceso restringido según nivel de seguridad.
 Realizar auditoría bienal
Los informes sobre datos almacenados en el servidor de monitorización serán utilizados

para las auditorias pertinentes. Dichas auditorias están especificadas en el plan de
seguridad para auditorias.
 No realizar pruebas con datos reales
Se contemplan dos entornos de desarrollo para datos, uno real y otro de pruebas. El
entorno de pruebas será una copia lógica del real, pero con la diferencia que los datos
que se manejen allí no son reales. Dichos entornos deben de estar física y lógicamente
separados de las operaciones de pruebas, que no se realizarán en las mismas máquinas
que las operaciones reales.
 Distribución de soportes
El sistema de ficheros debe de componerse de dos bases de datos, una para los ficheros
de nivel bajo hasta medio-alto y el otro para los ficheros de nivel alto a extremo dicha
separación es lógico y físico. Los datos están almacenados en máquinas diferentes y
transmitidos por cableado diferente (véase plan de seguridad en control de acceso).
Dicha medida es necesaria debido a que los ficheros altos y extremos deben ir en
transporte codificado.
27
 Poseer un registro de acceso
En la arquitectura informática de la empresa se contempla la creación de un servidor de

control centralizado. Dicho servidor tiene la información de todo el personal de la
empresa. Entre sus tareas está la de dar acceso como se menciona anteriormente, pero
también de dar información de acceso al servidor de monitorización. Cada mes el
servidor de acceso enviará al servidor de monitorización un informe con la siguiente
información:
o Que ficheros han sido creados, por quien, cuando y su ubicación.

o Que ficheros han sido modificados, por quien, cuando y su ubicación.
o Que ficheros han sido cancelados, por quien, cuando y su ubicación.
 Cifrado de las telecomunicaciones
Los datos serán enviados a través de un medio seguro, es decir a través de una red
virtual privada (VPN). Cada usuario que se conecte a la VPN, tendrá que introducir una
clave especial para la misma dada por la autoridad certificadora de la empresa (véase
Anexo B). Dicho clave solo será conocida por la autoridad certificadora (AC) y por su
usuario. Las claves se crearán, renovarán y cancelarán de acuerdo con lo estipulado en
el plan de seguridad interna.
 Doble cifrado de datos
El doble cifrado es simplemente cifrar un texto dos veces, esto dificultará en gran
medida que el texto pueda ser descifrado por fuerza bruta. El cifrado doble ofrece el
doble de garantías que el cifrado simple ya que el tiempo de descifrado por fuerza bruta
tardaría el doble. Es necesario que las dos claves utiliza para cifrar sean distintas. Las
claves las proporcionara la autoridad certificadora (AC) de la empresa. El algoritmo a
utilizar es el MQV (véase algoritmos criptográficos) que se utilizará para cifrar dos
veces.
 Identificación biométrica
La información protegida con esta medida solo podrá ser accedida mediante un
mecanismo con identificación biométrica. La máquina con identificación biométrica
pueden ser ordenadores portátiles con identificación por huella táctil o reconocimiento
facial. La comunicación entre estas máquinas con el servidor de base de datos será
segura mediante el uso de una red privada virtual (VPN).
28
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
5 PLAN DE SEGURIDAD EN SISTEMAS

Propósito
El propósito de este plan es crear unas normas de uso para las herramientas de
manipulación de la información en un entorno empresarial. Está previsto seguir como
referencia para ello el capítulo 12 de la ISO 27002, guía de buena práctica de
controladores recomendados para la seguridad. Para ello se tiene que definir el tipo de
herramientas usadas para la manipulación de la información, las medidas a adoptar
según el tipo de aplicación, los controles criptográficos, la seguridad en archivos, la
gestión de vulnerabilidades y los procesos de desarrollo y soporte.
Alcance

manipulación de sistemas.
Objetivos
12. Adquisición, mantenimiento y desarrollo de los sistemas de información

12.1. Requisitos de seguridad en los sistemas de información
12.1.1. Análisis y Especificaciones de los sistemas de los requisitos de seguridad
12.2. Tratamiento correcto de las aplicaciones
12.2.1. Validación de los datos de entrada
12.2.2. Control de procesamiento interno
12.2.3. Integridad de los mensajes
12.2.4. Validación de los datos de salida
12.3. Controles criptográficos
12.3.1. Política de uso de controladores criptográficos
12.3.2. Gestión de claves
29
12.4. Seguridad de los archivos de sistemas

12.4.1. Control del software de explotación
12.4.2. Protección de los datos de pruebas del sistema
12.4.3. Control de acceso al código fuente de los programas
12.5. Seguridad de los procesos de desarrollo y soporte
12.5.1. Procedimientos de control de cambios
12.5.2. Revisión técnica de aplicaciones tras efectuar los cambios en el sistema
operativo
12.5.3. Restricciones a los cambios en los paquetes software
12.5.4. Fugas de información
12.5.5. Externalización del software de desarrollo
12.6. Gestión de vulnerabilidades técnicas
12.6.1. Control de Vulnerabilidades técnicas
30
5.2 Requisitos de seguridad en los sistemas de información

Análisis y Especificaciones de los sistemas de los requisitos de
seguridad
Un sistema de información define el ciclo de vida [Barr03] de la información en el cual

están definidas ciertas actividades que afectan a la lógica de negocio de una empresa.
Los factores que intervienen en un sistema de información se pueden clasificar en dos
grandes grupos: factor humano y factor computacional. El factor humano se refiere a las
personas que interactúan en el sistema de información. El factor computacional agrupa
las herramientas utilizadas para la manipulación de la información que obtiene la
generación de un producto dicho factor se compone de hardware y software. El ciclo de
vida de la información se compone de cuatro estados: entrada, procesamiento,
almacenamiento y salida.
∑
INPUT OUTPUT
SISTEMAS
DE ARCHIVOS
(16) Sistema de Información
La entrada de información es el proceso por el cual el sistema de información recibe

información para su procesamiento. En dicho proceso la entrada puede entrar de dos
formas de forma automática sin intervención del factor humano, de forma manual con
intervención del factor humano. El factor computacional interviene en este proceso
aporta la información desde distintas fuentes de entradas físicos: discos, servidores,
dispositivos de memoria extraíbles. Y mediante herramientas software de gestión de
información de entrada: gestor de base de datos, gestor de paquetes del sistema
operativo… etc. Para la seguridad en la entrada hay que crear un inventario con todas
las fuentes de entrada que hay, cual es su importancia en el proceso productivo, cuales
son las medidas de seguridad a adoptar y cuál es su destino de dicha información.
También hay que asegurarse de cuál es la seguridad de los gestores de información de
entrada, su capacidad para detectar fuentes maliciosas y su control de acceso.
El procesamiento de la información puede tener dos naturalezas procesos batch y
procesos online. Los procesos batch son aquellos procesos en los que no interviene el
factor humano. Los procesos online son aquellos procesos en los que interviene tanto el
factor computacional como el factor humano. También se puede clasificar el
procesamiento según su implicación en el desarrollo del producto como procesos
indirectos y procesos directos. Los procesos directos son aquellos que intervienen de
31
forma directa en la proceso de producción. Los procesos indirectos son aquellos que
intervienen de forma indirecta en el proceso de producción. Es decir, dicha información
no es necesaria para la fabricación pero si para la gestión. El factor computacional sin
duda alguna da mucho peso en este ciclo de vida la seguridad, que se tiene que aplicar
tanto en aplicaciones de bajo nivel: sistema operativo, como de alto nivel: software de
gestión, software de desarrollo… etc. Hay que comprobar que seguridad tienen,
mecanismos de acceso y monitorización, mecanismos de gestión de cambios y
actualizaciones, mecanismos contra código malicioso y espionaje y mecanismos de
corrección de errores.
El almacenamiento de la información es otra actividad más en el proceso productivo. Su
función es la de dar apoyo al procesamiento de la información proporcionándole
información. Dicha información está situada en lo que se llama un sistema de archivos,
que es una agrupación lógica de la información. El sistema de archivos está controlada
por lo que se llama un gestor de sistema de archivos. El tipo de operaciones que se
realiza contra el sistema de archivos son la de inserción o la de extracción de la
información dichas operaciones la controla el gestor de archivos. En términos de
seguridad es importante controlar el tipo de operaciones que se realizan contra el
sistema de archivos, identificar el origen y el destino, la finalidad y quien realiza dicha
operación. También es importante controlar el acceso al gestor de archivos y tener
mecanismos de corrección de errores, cambios y actualizaciones.
El último paso en el ciclo de vida de los sistemas de información es la salida de la
información, que se corresponde a la gestión de entrega del producto y otro tipo de
gestiones administrativas. En este proceso hay que tener en cuenta que tipo de
mecanismos de salida tenemos y cuál es su nivel de seguridad, además hay que
asegurarse que la información que salga del sistema llegue en perfectas condiciones a su
destino.
32
5.3 Tratamiento correcto de las aplicaciones

Validación de los datos de entrada
Para poder hacer una valoración de los datos de entrada hay que clasificar por tipos
según su destino. A partir de dicha clasificación se podrán determinar medidas de
seguridad según su implicación en el modelo productivo. Para poder clasificar los datos
de entrada por grupos cogemos como referencia más que el tipo de formato: texto, foto,
web, su impacto en la cadena de valor de los procesos comerciales. La cadena de valor
[Puer03] es un modelo teórico que permite desarrollar las actividades de una
organización empresarial. En la siguiente figura podemos ver una cadena valor general
para una empresa.
(17) Cadena de Valor
A partir de la cadena de valor podemos clasificar los archivos de entrada en tres grandes
niveles: De soporte, operativos y corporativos. Dichos niveles configuran el nivel de
seguridad comercial de la empresa, desde los archivos menos importantes de soporte
aquellos que no están relacionados de forma directa con la empresa, hasta los
corporativos aquellos que afectan al desarrollo de la producción.
Los archivos de soporte tendrán que ser recibos por la organización a través de un
medio seguro. Si la fuente viene vía correo electrónico el proveedor deberá indicar con
claridad la persona de la organización. Si el proveedor es un agente externo a la empresa
este deberá identificarse así como a la empresa a la que pertenece. Dicha información
será contrastada mediante una consulta a una base de datos de proveedores y socios
comerciales. Si el proveedor es un agente interno deberá indicar su identificación
personal de la empresa. El receptor de la información deberá contrastar dicha
información contra la base de datos de personal en caso de no tener conocimiento de la
identidad de la persona.
33
Si la fuente viene vía dispositivo de memoria externa volátil o no esta deberá estar
cifrada con la clave pública del proveedor de dicha información. Los datos de carácter
financiero solo podrán ser enviados mediante una conexión segura (ejemplo https, ipsec,
mpls..etc). Los archivos operativos tendrán todas las medidas que los archivos de
soporte pero la información deberá ir cifrada en caso de vía correo electrónico. Los
archivos corporativos no podrán ser enviados por correo electrónico, solo podrán ser
recibidos de forma directa desde ordenadores portátiles con identificación biométrica y
con los datos cifrados. Toda recepción de información debe de ser registrada en un
servidor de entrada dicha información debe identificar el tipo de archivo, la fuente de
entrada, el destinario y la fecha. Todo personal de la empresa debe también dejar
constancia de la recepción de la información mediante un acuse de recibo. Las
transacciones de información habituales deberán de ser registradas y no necesitarán
acuse de recibo.
Control de procesamiento interno
El procesamiento de la información es distinto según sea la finalidad para cual va ha ser

tratada. El tipo de procesamiento también está relacionado con el tipo de archivo de
entrada que recibe. Según su naturaleza se puede clasificar el procesamiento de
información como:
 Procesamientos Transaccionales
Dichos procesamientos son para la comunicación entre aplicaciones dentro de una

infraestructura informática. Las transacciones informáticas pueden ser de diferente
naturaleza: FTP, WEB, HTTP pero todas las tecnologías de comunicación tienen en
común una cosa, deben identificar el destino y el origen para que la transacción tenga
lugar. De este hecho se saca la necesidad de tener identificado todos las fuentes de
origen y destino.
Hay dos formas de protección una pasiva y otra activa. La activa debe identificar el
destino a través de una lista de destinarios antes de realizar la transacción. Y la pasiva
envía un historial con todas las transacciones realizas a un gestor de transacciones, el
cual identificará mediante un proceso batch la corrección de las transacciones. Se
recomienda por efectividad utilizar el método pasivo de control de transacciones y solo
el proceso activo en caso especiales.
Ejemplos de procesos transacciones:
o Procesos Batch.
o Consultas a Base de Datos.
o Control de Usuario.
o Carga/Descarga de Ficheros.
o Procesamientos Operativos.
34
Son aquellos que afectan de forma directa al desarrollo del producto. Todas las
aplicaciones deberán de ser protegidas con un control de acceso solo para personal que
intervenga en el desarrollo operacional. Los datos relacionados con los procesamientos
operativos deberán de ser almacenados de forma remota en una base de datos protegida
mediante un servidor de acceso o almacenada en el puesto de trabajo con control de
acceso; y siempre que esté bajo una partición de disco distinta a la del sistema
operativo.
Ejemplos de procesos operativos:
o Desarrollo y mantenimiento de aplicaciones.

o Control de la producción.
 Procesamientos Ofimáticos
Los procesamientos ofimáticos se corresponden con aquellos que no afectan de forma

directa al desarrollo de productos. Dichos procesamientos se realizan mediante
aplicaciones ofimáticas. Las medidas de seguridad a tener en cuenta, es tener las
aplicaciones actualizadas. Se tomarán como consideración especial los datos bancarios,
los cuales deberán de estar cifrados antes y después de su procesamiento.
Ejemplos de procesos ofimáticos:
o Gestión de nominas
o Procesos de Contabilidad
o Envíos a Clientes
o Pedidos a Proveedores
35
 Procesamientos Estratégicos
Los procesamientos estratégicos son aquellos que afectan a la política estratégica de la

empresa. Las herramientas utilizadas para dichos procesamientos solo están bajo control
de la dirección de la empresa. Dichas herramientas deben de ser protegidas mediantes
un control de acceso a una partición específica del disco de la máquina en la cual se
ejecuten. Además la máquina deberá de tener la información estratégica codificada y un
sistema de seguridad integral compuesto por antimalware, firewall personal y antispam.
Ejemplos de procesos estratégicos:
o Procesos de producción
o Procesos de toma de decisiones (DDS)
Lo que todo tipo de procesamientos tiene en común es que las aplicaciones que utilicen
deberán de estar apoyadas en un sistema operativo. Los sistemas operativos se
convierten en un riesgo si no poseen procesos automáticos de corrección de errores y
mecanismos de seguridad internos. Por eso es necesario que se configuren el sistema
operativo para que se actualice de forma automática. Será necesario tener un informe
con el tipo de sistemas operativos utilizados en la organización, su nivel de fiabilidad
dada por algún organismo internacional (ejemplo Common Criteria) y una planificación
de actualizaciones y revisiones de seguridad. El personal administrativo deberá tener el
sistema operativo con actuación restringida y no podrán instalar aplicaciones ni acceder
a la configuración del sistema operativo.
36
Integridad de los mensajes
Para asegurar la integridad de los mensajes se recomienda la utilización de firma digital

en cada mensaje. Los algoritmos de firma digital procesan el contenido del mensaje y
son sensibles contra la modificación del texto. La firma digital asocia una información
codifica al texto claro del mensaje, si el texto es modificado la firma digital no podrá ser
verificada. A continuación se explica un proceso de emisión mediante firma digital:
FUNCIÓN Clave privada

HASH del agente A
El agente A escribe un mensaje sin

cifrar, le aplica una función hash la
cual saca un resumen del mensaje. El MENSAJE SIN
CIFRAR
RESUMEN DEL
MENSAJE
mensaje es cifrado con la clave

privada del agenta A. Y se obtiene la agente
A
firma digital del agenta A para el
RESUMEN
mensaje. FIRMA DIGITAL
CIFRADO
(18) Creación de firma digital
El agente A envía al agente B el mensaje sin

cifrar más su firma digital. La firma digital MENSAJE SIN
está compuesta por el certificado público de CIFRAR
A y un resumen cifrado del mensaje. El

certificado público de A esta formado por
los datos personales del agente A y la clave FIRMA DIGITAL
agente agente
pública de A. A B
El agente B recibe el mensaje de A. Crea un

resumen del mensaje con una función hash.
Descifra el resumen cifrado de A con la certificado
RESUMEN
CIFRADO A
público de A
clave pública de A. Compara los dos
resúmenes y si son iguales se confirma la
integridad del mensaje.
(19) Envío de mensaje con firma digital
RESUMEN RESUMEN
FUNCIÓN
MENSAJE A CIFRADO A
HASH
MENSAJE SIN RESUMEN DEL

Clave pública
CIFRAR MENSAJE B
del agente A
agente
B
(20) Verificación del mensaje
37
Validación de los datos de salida
La salida de datos debe de ser registrada en la organización de la empresa mediante un

informe digital que se almacenará en un servidor de monitorización de actividades.
Dicho informe deberá de tener constancia primero de la naturaleza del envío: entrega de
producto, envío de datos comerciales, envío de datos de facturación…etc. También
tiene que quedar constancia de quien lo envía, de la autorización del jefe de
departamento y deberá quedar constancia de donde lo envía. Se aconseja la utilización
de acuse de recibo para la confirmación de la recepción correcta del mensaje. Los
envíos con información sensible deberán de ser enviadas a través de una red privada
virtual (VPN).
5.4 Controles criptográficos

Política de uso de controladores criptográficos
Los controladores criptográficos son una parte muy importante en toda organización.
Dichos controladores marcan la protección necesaria para la información. Según el
apartado de algoritmos criptográficos se contemplan varios algoritmos de encriptación
diferentes según la finalidad para la que se usen. Dichos algoritmos y su uso para la
protección de datos esta resumida en el siguiente cuadro:
Verificación de
Identidad e
Transporte Confidencialidad Autentificación Integridad de datos
Certificación digital
SSL MQV :ECDSA HMQV
(21) Controladores Criptográficos
Dichos algoritmos son oficiales y con aplicaciones fáciles de encontrar en el mercado

como por ejemplo Crytool u OpenSSL. La aplicación a los ficheros que necesite una
protección criptográfica se contempla en el Plan de Seguridad en Datos.
Gestión de claves
La gestión de claves se realizará a través de una infraestructura de clave pública (Véase

Anexo B). La infraestructura de clave pública estará representada por una Autoridad
Certificadora, Autoridad Verificadora y la Autoridad Reguladora. La Autoridad
Certificadora será encargada de emitir certificados privados y empresariales. La
Autoridad Verificadora es la encarga de asegurarse que todos los certificados han sido
recibidos. La Autoridad Reguladora será la encargada de interactuar con el usuario para
el manejo de claves. La Autoridad Verificadora y Reguladora se sitúan en un servidor
centralizado, donde tendrán programas para la generación de claves, emisión y
validación de certificados. La Autoridad Reguladora estará instalado en cada estación de
trabajo será un programa habilitado para actualizar la tarjeta inteligente del empleado, la
38
creación de CRL para los certificados revocados y la creación de una lista con todas las
claves públicas del personal de la empresa. Los certificados privados serán enviados a
través de conexión segura al equipo de trabajo de la persona, a la cual va destinada el
mensaje contiene la clave privada de la persona, la cual será actualizada en su tarjeta
inteligente. Los certificados empresariales tienen las claves públicas de todo el personal
de la empresa y serán enviados a todo el personal. Dichas claves se guardarán en forma
de lista por la Autoridad Reguladora.
5.5 Seguridad de los archivos de sistemas

Control del software de explotación
Como se menciona anteriormente las aplicaciones de operación deberán de ser

protegidas mediante control de acceso solo para personal que intervenga en el desarrollo
operacional. El software de explotación deberá de estar instalado en las estaciones de
trabajo destinadas exclusivamente a desarrollo de productos. Dichas estaciones de
trabajo deberán de tener un control de acceso. El control de acceso lo puede
proporcionar el sistema operativo o a través de BIOS. Los ejecutables de dichas
aplicaciones se encentrarán en un servidor local accesible solo por las estaciones de
trabajo de explotación y por los servicios de seguridad. Todo soporte físico de las
aplicaciones deberán de estar en control del equipo de seguridad.
Protección de los datos de pruebas del sistema
Los datos de prueba no podrán utilizar datos reales deberán de estar en una base de
datos diferente a la de los datos reales y estará ubicada en una base de datos distinta. Las
pruebas se realizarán en estaciones de trabajo específicas para dicha tarea. Deberá
quedar constancia de dichas pruebas en un fichero de pruebas especificando: autor de
las pruebas, fecha de las pruebas, datos de las pruebas y entorno en el que se prueban.
Control de acceso al código fuente de los programas
En el proceso de desarrollo de programas se tiene que contemplar la utilización de una

jerarquía de archivos instalada en un servidor de archivos accesible a través de
protocolo FTP. Todo el equipo de desarrollo deberá de crearse una cuenta FTP para
poder acceder a los archivos con código fuente. Dichas cuentas serán controladas por un
servidor de monitorización para la prevención de intrusos. El equipo de desarrollo podrá
descargarse los archivos de código fuente para su desarrollo, pero tendrán que subirlos
al servidor de archivos una vez termina la jornada de trabajo, y eliminarlos de su
máquina. Se prohíbe la copia del código fuente a toda máquina que no sea la estación de
trabajo.
39
5.6 Seguridad en los procesos de desarrollo y soporte

Procedimientos de control de cambios
Necesidad de Análisis de Determinar el
realizar un cambio requerimientos Impacto
Creación de SI
Plan de ¿Procede?
Cambios
NO
Ejecución del
Plan de
Cambios
Registro de
FIN
Cambios
(22) Gestión de Cambios
La gestión de cambios debe de realizar unas tareas específicas antes de realizar un

cambio en la configuración de sistemas que afecten al sistema de producción. El
cambio en la gestión está representado en el diagrama de flujo (22) y está compuesto
por las siguientes tareas:
 Necesidad de realizar un cambio
En toda arquitectura hardware y software se da la necesidad de realizar un cambio, es

inherente a la utilización de dichas tecnologías debido a su gran capacidad de evolución.
Todas las corporaciones tienen la necesidad de dar cambios a su infraestructura para
poder dar mejor servicio y ser competitivos en un sector, tan cambiante como es el
tecnológico.
 Análisis de requerimientos
Para plantear un cambio tecnológico hay que ver qué impacto va a tener en nuestro
sistema actual y el alcance de dicho cambio en nuestra organización. Para poder medir
dicho impacto se plantean las siguientes preguntas:
¿Cuántos equipos de mi corporación quedan afectados por este cambio?
¿Necesitamos implantar alguna tecnología hardware adicional para realizar el cambio?
¿Necesitamos implantar alguna tecnología software adicional para realizar el cambio?
¿Necesitamos crear un plan de formación para nuestro personal por el nuevo cambio?
¿Creará incompatibilidad de tecnologías?
¿Cómo afectará la instalación del cambio a mis proyectos actuales?
40
 Determinar el impacto
Para determinar el impacto de nuestro cambio hay que determinar el coste económico
de realizar dicho cambio a partir de las respuestas del análisis de requerimientos. Y
también debemos calcular el ROI de nuestra inversión.
 ¿Procede?
La decisión para realizar el cambio es sin duda una decisión bastante crítica pues un mal
cambio puede afectar negativamente a nuestro sistema de producción. Para poder ver si
procede o no realizar el cambio debemos comparar cual será el beneficio económico de
quedarse en una situación sin cambio; y cuál será el beneficio económico de realizar el
cambio. En caso de que el beneficio del cambio sea mayor se procederá a realizar el
cambio.
 Crear un plan de cambios
Si se toma una decisión positiva en la gestión de cambios hay que realizar un plan de
cambios. En dicho plan de cambios se especificará el equipo de trabajo encargado de
realizar dichos cambios, identificar todos los componentes nuevos y componentes
afectados por estos nuevos, un análisis de posibles riesgos de cambio, una planificación
de actividades, los cambios a realizar para el personal afectado por dicho cambio y un
seguro económico si el cambio es significativo.
 Ejecución del plan de cambios
La ejecución del cambio debe de realizarse como de si un proyecto software se tratase.

Se debe de asignar un jefe de proyecto responsable último de realizar con éxito los
cambios en cuanto tiempo, dinero y calidad. La calidad del proyecto lo determinará el
cliente del proyecto es decir la propia organización que encargará a una persona
específica para el control de la calidad. El control del cambio se realizará mediante
informes de seguimientos en los que se especificará el trabajo realizado, el trabajo por
realizar, el retraso del mismo y los cambios a realizar en caso de retraso.
 Registrar los cambios
El registro de los cambios tiene un gran valor estadístico con el fin de poder mejorar
cambios que se realicen en el futuro y evitar posibles riesgos superados en cambios
anteriores. Además sirve como evaluación para poder determinar si el cambio se ha
realizado con éxito.
41
Revisión técnica de aplicaciones tras efectuar los cambios en el

sistema operativo
Cada vez que se realiza un cambio tecnológico es inevitablemente afectar a las

aplicaciones ya instaladas. Para poder minimizar un impacto negativo de los cambios
se debe de contemplar la compatibilidad de tecnologías. Cada vez que se realice un
cambio hay que asegurarse que las aplicaciones anteriores no quedan afectadas. En caso
de instalación hardware se debe de asegurar que están instalados los drives de forma
correcta en el sistema operativo. La instalación de un nuevo sistema operativo afectará a
la estructura de ficheros de disco. En cada máquina hay que controlar que las
particiones de disco quedan lógicamente separadas para cada sistema operativo y que la
gestión de arranque del sistema contemple la posibilidad de poder acceder a todos los
sistemas operativos instalados.
Restricciones a los cambios en los paquetes software
Se prohíbe realizar cambios tecnológicos en las estaciones de trabajo de desarrollo

donde haya una incompatibilidad de aplicaciones y dichas aplicaciones se estén
utilizando en proyectos actuales. También se prohíbe realizar cambios que puedan
afectar a información en base de datos sensibles, sin haber realizado antes una
migración de datos. Todo cambio de software que afecte a la seguridad perimetral de la
organización esta terminante prohibido.
Fugas de información
Las fugas de información son un riego tangible en toda organización que puede afectar
negativamente a su competitividad en el mercado comercial. Sin duda alguna es
deseable evitarlos a toda costa para ello se contempla la creación de una política de
seguridad de la empresa (5.1 de la ISO 27002). Pero una vez detectada la fuga de
información es esencial un plan de actuación rápido para poder minimizar cambios
negativos. Para empezar hay que detectar cual ha sido la fuente desde donde se ha
producido la brecha de seguridad. Dicha fuente debe de ser aislada y sometida a una
autopsia informática (véase plan de seguridad en gestión de riesgos). En dicha autopsia
deben de quedar claro las causas por las cuales se ha producido dicha fuga así como las
medidas correctivas para evitar dicha fuga en el futuro. También tiene que determinar el
responsable de dicha fuga para poder determinar responsabilidades legales. En el caso
de que se vea afectada la estrategia empresarial la dirección de la empresa deberá de
tomar medidas de urgencia para su cambio inmediato.
42
Externalización del software de desarrollo
En el desarrollo final de un producto software hay que pensar en el mejor mecanismo

para la facilitar el acceso al usuario final sin comprometer la seguridad de la empresa.
Por eso, el producto final tendrá el código fuente encapsulado sin acceso al usuario.
También sea cual sea la tecnología, en la cual se desarrolla el software debe de cumplir
unos principios básicos [Toma07] antes de entregar el producto final al cliente.
 Corrección
El software debe de cumplir con los requisitos implícitos y explícitos aprobados por el
cliente en la fase de análisis de requisitos.
 Fiabilidad
El software debe de ser fiable. El resultado de las operaciones debe de ser el mismo para
unos parámetros de entrada iguales.
 Robustez
El software debe de ser robusto es decir debe tener poca probabilidad de fallos y
capacidad para la corrección de errores.
 Rendimiento
El software debe orientar sus operaciones en una situación óptima en recursos y
tiempos. El código fuente debe de estar optimizado.
 Usabilidad
El usuario debe de poder desenvolverse con el software de forma rápida y fácil. Para
ello prima de manera considerable realizar un buen diseño del interfaz gráfico de la
aplicación
 Mantenibilidad
El software debe de soportar tolerante a cambios. El código fuente debe de ser claro y
accesible para las personas que tengan que mantener el software. El software siempre
irá acompañado de un manual técnico donde se especificará todos los diagramas,
variables, clases y cualquier elemento que haya intervenido en la programación.
 Reusabilidad
El código fuente del software debe de poder ser reutilizable. Se debe de preservar la
generalidad de las operaciones con el fin de poder ser útiles para el desarrollo de otras
aplicaciones.
 Portabilidad
El software debe de ser soportable en el mayor número de infraestructuras software
posible. Su diseño deberá de estar orientado hacia ese fin.
43
 Entendible
Todas las tareas que realice el software deben de cumplir con los requisitos del cliente.
Ninguna de las tareas que realice el software puede estar en desconocimiento del
cliente.
5.7 Gestión de la vulnerabilidad técnica

Control de Vulnerabilidades técnicas
La vulnerabilidad en seguridad en sistemas se da generalmente cuando no se cumplen

con unas recomendaciones mínimas de seguridad. Si se realiza una política de seguridad
exhaustiva estos hechos no tienen porque ocurrir. Para evitar el caso de tener factores de
riesgos en nuestro sistema se proponen las siguientes medidas para unas situaciones de
riesgo comunes para todo tipo de sistemas:
Vulnerabilidades Medidas Preventivas Medidas correctivas
Sistema operativo sin actualizar Actualizaciones automáticas mensuales

Antivirus sin actualizar Actualizaciones automáticas semanales
Prohibir contraseñas con menos de 10
Uso de contraseñas débiles caracteres Cambio de contraseña
Instalación de aplicaciones por Plan de instalaciones estándar para los
defecto equipos de trabajo Eliminación de programas
Sistema de eliminación de cuentas por
Cuentas de usuario inservibles inactivada durante 2 meses Eliminación manual
Gran número de puertos abiertos Instalar un Firewall con reglas de tráfico
Recursos compartidos en red no Bloquear el uso de recursos
protegidos Limitar el uso de recursos compartidos compartidos
No contemplar backups Creación de backups de datos mensual
Partición de disco conjunta para
datos y programas Separación lógica de partición para datos y partición para programas
Medidas de seguridad implantadas en Utilización de un servidor
Navegación web poco fiable el navegador webs proxy
(23) Vulnerabilidades
El plan de instalaciones sería simplemente una lista de aplicaciones a instalar en cada

equipo técnico. Otra forma de evitar vulnerabilidades es una educación sobre seguridad
al personal de la empresa pues un mal uso de la seguridad supone un riesgo. También se
aconseja la creación de una lista de vulnerabilidades específica para cada tipo de
sistema operativo instalado en la empresa.
44
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
6 PLAN DE SEGURIDAD EN COMUNICACIONES

Propósito
El proceso comunicativo es fundamental en los procesos de información es tan

importante como el habla humana, pero a diferencia de este el mensaje comunicativo
puede ser manipulado con mucha facilidad. De este planteamiento surge la necesidad de
controlar el proceso comunicativo. Está previsto seguir como referencia para ello los
capítulos 5 y 10 de la ISO 27002 guía de buena práctica de controladores recomendados
para la seguridad. Para el cumplimiento de estos objetivos tenemos que analizar cuáles
serán las operaciones que intervienen en el proceso de comunicación, que tipo de
gestión necesitan según su nivel crítico, como nos comunicamos con terceros, que
política de redes se implanta y que herramientas tenemos contra ataques en
comunicaciones.
Alcance

manipulación de comunicaciones.
Objetivos
10. Gestión de Comunicaciones y Operaciones

10.1. Responsabilidades y procedimientos de operación
10.1.1. Documento de los procesos de los procedimientos operación
10.1.2. Gestión de Cambios
10.1.3. Seguridad de Tareas
10.1.4. Separación de los recursos de desarrollo, pruebas y operación
10.2. Gestión de la provisión de servicios a terceros
10.2.1. Provisión de servicio
10.2.2. Supervisión y revisión de los servicios prestados a terceros
10.2.3. Gestión de cambios en los servicios prestados a terceros
45
10.3. Planificación y aceptación del sistema

10.3.1. Gestión de capacidades
10.3.2. Aceptación del sistema
10.4. Protección contra código malicioso y descargable
10.4.1. Controles contra código malicioso
10.4.2. Controles contra el código descargado en el cliente
10.5. Copias de seguridad
10.5.1. Copias de seguridad de la información
10.6. Gestión de seguridad en redes
10.6.1. Controles de redes
10.6.2. Seguridad en los servicios de red
10.7. Manipulación de soportes
10.7.1. Gestión de soportes extraíbles
10.7.2. Retirada de los soportes
10.7.3. Procedimientos de manipulación de la información
10.7.4. Seguridad de la documentación de sistema
10.8. Intercambio de información
10.8.1. Políticas y procedimientos de intercambio de información
10.8.2. Acuerdos de intercambio de información
10.8.3. Soportes físicos en transito
10.8.4. Mensajería electrónica
10.8.5. Sistemas de información empresariales
46
6.2 Responsabilidades y procedimientos de operación

Documento de los procedimientos de operación
Para poder redactar un documento de procedimientos de operaciones en un sistema de
comunicaciones hay que tener claro cuáles van los mensajes que se reciban y se
trasmitan en la organización, ya sea de forma interdepartamental como con clientes y
proveedores. Hay que identificar que protocolos de comunicación utilizará la
organización para su sistema de información. Para esta tarea se recomienda utilizar unas
reglas de tráfico donde se defina el tipo de tráfico, el puerto de salida/entrada para dicho
tráfico (Los puertos de salida/entrada [Wind07] suelen estar ya definidos para protocolos
de comunicación TCP/UDP) y el uso que se le quiera dar. En la tabla que se muestra a
continuación muestra una configuración básica ampliable de unas reglas de tráfico para
cualquier tipo de organización.
Tipo de Tráfico Puerto Uso Justificación

ICMP es un sub protocolo de control y notificaciones de
errores del Protocolo IP. Se podría utilizar para saber si
ICMP TCP:7 Local
una dirección host está disponible por eso su uso debe
de ser local.
Dicho tráfico contiene información sobre
RIP UDP: 520 Bloqueado direccionamiento que puede ser crítico. Solo accesible
para el equipo de seguridad
El tráfico web puede ser peligroso sobre todo las redes

sociales que no garantizan la seguridad de sus páginas.
Web TCP:80/433 Restringido
Se propone una tabla de direcciones web permitidas
para ello tomar como referencia las reglas OWASP.
Su uso se recomienda local no obstante se tiene que
FTP TCP:21 Local
implantar un gestor de acceso para dicho protocolo.
Para aquellos equipos de teletrabajo o trabajo remoto

SSH /SFTP TCP:22 Exterior
que necesiten trabajar con archivos internos
Se permite el uso de tráfico para correo no obstante

SMTP TCP:25 Local/Exterior tiene que implantarse un gestor para el control del
correo y cuentas de correo
Es necesario su uso para poder acceder a los servidores
DNS TCP:53 Local
de información inter-departamentales.
47
Para el acceso al sistema habrá una ruta IP estática global

DHCP UDP:67/68 Bloqueado
para todos los usuarios que lo necesiten.
Se recomienda que el uso de correo electrónico privado

sea limitado. No se recomienda el acceso web y si el
POP TCP:110 Restringido
acceso mediante un gestor de correo local con estrictas
medidas de seguras y con un gestor antispam.
La sincronización de relojes es fundamental para el buen

NTP UDP:123 Local/Exterior
funcionamiento de los servidores
Permite acceder a correo desde un servidor central con
IMAP TCP:143 Local/Exterior sin necesidad de descargar la información. Además
permite comunicación cifrada.
PPS Protocolo para impresoras remotas. Permite la impresión

TCP:551 Local
(spooler/printing) con un ordenador conectado a su misma red.
TLS /SSL TCP:993 Local/Exterior Fundamental para enviar comunicación cifrada.
Para comunicación con servidor de base de datos con

TCP: 1433
SQL Local/Exterior restricciones para uso solo en LAN para comunicaciones
UDP:1434
interiores y VPN en comunicaciones exteriores.
Para control de acceso remoto controlado mediante
Telnet TCP:23 Exterior
usuario y contraseña.
Para configuración de seguridad solo accesible para
Security WebTool TCP:1023 Local
personal de seguridad
(24) Reglas de Tráfico
A estas reglas hay que añadir la regla de bloquear todos los demás puertos TCP y UDP
que no estén asignados. Dichas reglas se implantaran en un firewall central para el
control del tráfico en el perímetro de seguridad de la organización.
48
Gestión de Cambios
Cambio
infactible
NO
Informe de
¿Factible? denegación
Petición de cambio Informe de impacto SI

de cambio
¿Viable? Histórico
Informe de aprobación Pruebas Implantación

Informe de cambio
Cambio
inviable
(25) Vida de un cambio
La gestión de cambios debe de ser un mecanismo totalmente reglamentado para que su

impacto no cause daños a las comunicaciones de la organización. La gestión será
llevada por el equipo de seguridad de la organización y debe de ser aprobada por la
dirección de la empresa. Para realizar un cambio se tiene que implantar una solicitud de
cambio. En dicha solicitud debe de constar la persona que solicita el cambio, su rango
dentro de la empresa, la fecha en el que se solicita el cambio y la firma del jefe de
departamento donde se solicite el cambio. También debe de quedar constancia cual es el
cambio que se desea realizar, que protocolo se desea implantar o suprimir, que puertos
se desean reservar y cuál será el uso que se le desea dar. Una vez pasada la solicitud al
equipo de seguridad este realizará un informe de impacto sobre las comunicaciones que
puede provocar dicho impacto sobre los demás protocolos de comunicaciones y
sistemas de comunicaciones. Dicho informe será remitido a la dirección de la empresa
la cual estudiará la factibilidad de dicho cambio. Si la dirección está conforme con el
cambio se enviará el informe de aprobación al equipo de seguridad o en caso contrario
un informe de denegación. En caso de recibir un informe de aprobación el equipo
técnico procederá a realizar el cambio primero en un entorno de pruebas (separado de la
parte de desarrollo y operación) y después en un entorno real en caso de no haber
detectado anomalías en el entorno de pruebas. Si se detectan anomalías se declara el
cambio inviable y se comunicará a la dirección de la empresa y al solicitante del
cambio. En caso viable, se redactará un informe del cambio realizado y todos los
informes serán enviados a un histórico de cambios.
49
Seguridad de Tareas
Las reglas de tráfico deben de ser monitorizadas a través de un software de control de

tráfico para evitar ataques desde el exterior. Dicho software de control será el único
habilitado para cambias las reglas de tráfico. En el mercado de seguridad dicho software
viene dado con el equipo firewall. Los requisitos que debe de cumplir dicho software
son los siguientes:
o Control de acceso mediante usuario y contraseña.

o Puerto especial reservado para la conexión con el administrador.
o Historio de Cambios
o Validación de acceso remota.
La instalación del firewall debe de estar en una habitación aislada solo accesible para
personal de seguridad. El software de control debe estar instalado en un ordenador
portátil con identificación biométrica y bajo responsabilidad de un miembro del equipo
de seguridad. Los cambios solo se podrán realizar de forma directa, es decir con una
conexión física entre firewall y ordenador portátil.
Separación de los recursos de desarrollo, pruebas y operación
Los recursos de desarrollo, pruebas y operación deben de estar separados físicamente y

lógicamente. El tipo de información que se manejar en la sección de pruebas no puede
ser real y no debe de interferir en las operaciones del equipo de desarrollo y operaciones
por motivos evidentes de seguridad. El entorno de desarrollo requiere por su
implicación en el modelo productivo y el tipo de información sensible que maneja
requiere recursos propios. Las operaciones afectan a la totalidad de la organización sin
embargo están expuestas a un mayor riesgos que los demás entornos, para no
comprometer la seguridad global estas operaciones deben también tener recursos
propios. En la siguiente tabla se muestra una lista de recursos para los diferentes
entornos:
Entornos Recursos
Servidor de Pruebas
Pruebas
Estación de trabajo de pruebas
Servidor de BBDD
Desarrollo Servidor de Aplicaciones
Estaciones de trabajo varias*
Router/Switch
Firewall
Operación
Servidor de Acceso
Portátil con identificación biométrica
Estaciones de trabajo varias*: El número de estaciones vendrá dada por las necesidades operativas
50
6.3 Gestión de la provisión de servicios a terceros

Provisión de servicio
Los servicios provistos a cliente deben de realizarse con las mayores garantías de
integridad, confidencialidad y seguridad en la información. Antes de la provisión del
servicio debe de quedar constancia el tipo de servicio que se desea prestar entre un
servicio de desarrollo de producto o de un mantenimiento del producto. En el desarrollo
de productos el código de programas deberá ubicarse en un servidor central y solo se
podrá almacenar de forma temporal en las estaciones de trabajo. En el caso de
mantenimiento de producto se deberá de crear un entorno de pruebas y otro de
desarrollo (véase: separación de los recursos de desarrollo, pruebas y operación). El
tipo de provisión de servicios a terceros puede ser servicio en cliente o servicio remoto.
El servicio en cliente deberá llevar un contracto de buenas prácticas de seguridad
firmado por ambas partes en el que se estipule las medidas de seguridad a tomar. Dichas
medidas deberán de contemplar las medidas descritas en el plan de seguridad de
sistemas. Los servicios remotos se refieren a aquellos servicios que se dan a cliente
desde la organización de la empresa. En estos servicios el equipo de desarrollo se
encuentra ubicado dentro de la organización y se comunica con el cliente a través de
comunicación remota. En este caso hay que garantizar la seguridad del medio de
comunicación para ello se utilizará una red privada virtual.
Una VPN [JSH106] garantiza la integridad de los datos al enviar los datos cifrados desde
origen a destino, además puede garantizar la confidencialidad de los datos a través de la
utilización de una tabla IP fija. Según sea la necesidad de servicio se pueden dar tres
VPN* posibles:
o IPSEC
IPsec es un conjunto de protocolos para garantizar la comunicación segura en el

Protocolo de Internet (IP) (capa de red, modelo OSI). Consta de dos protocolos
principales para garantizar la seguridad en los paquetes IP. El AH que proporciona
integridad y autentificación para los datos con el uso de algoritmos criptográficos. Y el
ESP que proporciona confidencialidad entre usuarios. Se recomienda utilizar este tipo
de VPN para la comunicación de un grupo limitado de usuarios pues la utilización de
muchos usuarios necesitará la utilización de un sistema centralizado de direcciones y
IPSec no evita los ataques DoS.
VPN* El tipo de controles criptográficos a utilizados viene dado en el Plan de Seguridad para Sistemas sección de controles
criptográficos.
51
o SSL
SSL es un protocolo de seguridad para las conexiones a nivel de transporte (modelo

OSI). La utilización de esta tecnología para VPN ofrece conectividad punto-a-punto con
validación jerárquica de usuarios. Su utilización está recomendada para cuando hay una
gran cantidad de usuarios remotos debido a su gran aceptación en todos los navegadores
webs.
o MPLS
MPLS es un mecanismo para dirigir y transferir datos entre redes de áreas grandes
(WAN) con utilización de nodos de alto rendimiento con independencia del contenido
de los datos. La tecnología MPLS es utilizada para la creación de VPN debido a su
capacidad de crear vínculos virtuales independientes al protocolo de encapsulamiento de
datos. Su uso se recomienda para cuando hay un gran número de usuarios en el sistema
ya que utiliza un sistema centralizado de autentificación basado en tablas IP.
Sea cual sea la selección utilizada se debe contemplar la creación de un servidor que
provea servidor especifico para la creación de VPNs. Deberá de reservarse un puerto
especial en la tabla de tráfico para su uso y su ubicación física estará dentro de la
organización solo accesible para personal de seguridad.
Supervisión y revisión de los servicios prestados a terceros
El equipo de trabajo para la prestación de servicio a terceros tendrá como responsable

un jefe de equipo de trabajo el cual será el responsable de la buena marcha del trabajo,
ya sea de desarrollo o mantenimiento de producto. En caso de que sea desarrollo de
producto el jefe de proyecto será el que asuma la buena marcha del proyecto para que se
cumpla con unos criterios de calidad establecidos por la dirección. En los proyectos
habrá informes de seguimiento después de la finalización de un ciclo de trabajo (los
ciclos de trabajo vendrán definidos por el plan de gestión de proyecto) para observar la
buena marcha del proyecto. En estos informes de seguimiento se tiene que contemplar
los siguientes puntos:
o Objetivos propuestos en el ciclo de trabajo.

o Riesgos encontrados en el ciclo de trabajo y acciones correctivas para evitarlos.
o Evolución del proyecto basado en los objetivos cumplidos en el ciclo de trabajo.
o Acciones correctivas para el siguiente ciclo en caso de retrasos o contratiempos.
o Acciones preventivas para los riesgos que se puedan encontrar en el siguiente
ciclo.
o Objetivos propuestos para el siguiente ciclo.
52
El mantenimiento del producto se realizará desde un Help Desk* instalado en la sede de

la organización. Los servicios del Help Desk son los del mantenimiento de producto, se
resolverán dudas sobre la utilización del producto y se resolverán fallos y errores del
sistema para los servicios que se fijarán en el proyecto de dicho producto. La
introducción de nuevos servicios o mejora de servicios ya propuestos necesitará de la
creación de un nuevo proyecto informático. La comunicación será a través de e-mail
corporativo o vía web a través de protocolo de comunicación seguro HTTPS*. Para el
mantenimiento de producto también se plantean informes de seguimiento pero estos
tendrán carácter mensual al no haber unos ciclos. Dichos informes deben de incluir la
siguiente información.
o Errores del producto, fecha donde se encontraron, usuario que detecto el error y
localización en el código fuente.
o Medidas planteadas para la corrección del error y su efecto sobre el código
o Comparación de código sin modificación y con modificación debido a un error
encontrado.
o Pruebas realizadas en el entorno de pruebas para el nuevo código.
o Sugerencias y dudas registradas en ese mes
Todas las versiones de código que se produzcan deberán de ser guardas en un historial
como salvaguarda en caso de fallo u error instalado en un servidor central. No se
utilizarán datos reales en el entorno de pruebas bajo ningún concepto y se deberán de
utilizar los recursos aconsejados en la sección de Separación de los recursos de
desarrollo, pruebas y operación.
Gestión de cambios en los servicios prestados a terceros
Los pasos a seguir en la gestión de cambio para la provisión de servicios a terceros

serán los mismos que los planteados en la sección de gestión de cambio pero con las
siguientes modificaciones.
o Todo cambio sobre el producto llevará asociado un nuevo proyecto con una
nueva planificación, un nuevo jefe de proyecto y una lista de necesidades
firmada por el cliente.
o La factibilidad del cambio debe de ser negociada con el cliente.
o La implantación del cambio en el cliente debe de tener el consentimiento
expreso del cliente.
o El informe de cambio debe de ser aprobado por el cliente.
Help Desk * es un servicio de soporte informático para resolver problemas informáticos relacionados con un producto vía
comunicación remota.
HTTPS* (Hypertext Transfer Protocol Secure) es un protocolo de red basado en el protocolo HTTP, destinado a la
transferencia segura de datos de hipertexto
53
6.4 Planificación y aceptación del sistema

Gestión de capacidades
Creación del Iniciar la

Monitorización de ¿Necesidad de Gestión de
SI Plan de
Actividades Cambio? Cambio
Capacidad
NO
CDB
(26) Flujo de capacidades
La gestión de capacidades [ITIL09] tiene como objetivo mejorar las capacidades

informáticas de la organización teniendo en cuenta nuevas tecnologías y la optimización
de la tecnología ya implantada. La gestión de necesidades se puede desglosar en las
siguientes actividades.
o Monitorización de actividades
En la monitorización de actividades se tiene que hacer una fotografía fiel de la situación

en el desarrollo y gestión de actividades se puede realizar de forma mensual o
cuatrimestral. Para ello se necesita identificación de las tecnologías usadas para la
realización de actividades y estudio del alcance de posibilidades para dichas
tecnologías. Un estudio sobre la optimización de recursos donde se indique la cantidad
de recursos disponibles y la utilización de los mismos. Un estudio sobre optimización
de actividades donde se indique los distintos procesos productivos y las posibles
mejoras del modelo. Y un plan de incorporación de nuevas tecnologías donde se
presentará nuevas tecnologías para el proceso productivo y se comparará con las
actuales tecnologías. Por último se tendrá que incluir un estudio sobre demanda de
necesidades futuras basando en nuevas tendencias y oportunidades de negocio. Una vez
realizado todos esos informes se pasarán a la dirección de la empresa donde con sus
planes de negocio y acuerdos de servicio decidirá sobre la idoneidad de realizar el plan
de capacidad.
54
o Creación del Plan de Capacidad
El plan de capacidad es la planificación para realizar un cambio en la infraestructura

tecnológica de acuerdo con una necesidad de cambio; debido a la introducción de una
nueva tecnología. El plan debe identificar cuales es la nueva tecnología a introducir qué
requisitos asociados necesita para el cambio. También reflejará como afectará a la
infraestructura actual tanto a aplicaciones, datos, sistemas operativos y hardware. Debe
de tener en cuenta la capacidad productiva de la empresa y los riesgos de contemplaría
el nuevo cambio. Igualmente debe incluir un plan económico donde se especifique los
gastos y el ROI. Una vez finalizado el plan de capacidad será almacenado en una base
de datos de capacidad CDB.
o Iniciar la Gestión de Cambio
La gestión de cambio se inicia una vez finalizado la redacción del plan de capacidad en
el cual se seguirán los pasos descritos en la sección de gestión de cambios de este plan.
Aceptación del sistema
La aceptación del sistema se debe contemplar cómo el proceso de readaptación del

sistema después de haber realizado un cambio tecnológico. El proceso es una
modificación de la fase de pruebas en la gestión de cambios. Dicha modificación se
realiza al tratarse de un cambio tan importante como un cambio tecnológico. En esta
fase de pruebas se debe de cubrir los siguientes puntos.
o Adaptabilidad de la nueva tecnología a los componentes hardware de las

estaciones de trabajo.
o Adaptabilidad de la nueva tecnología a los componentes de red entre
departamentos.
o Adaptabilidad de la nueva tecnología a los componentes software existentes:
programas, sistemas operativos, gestores de datos, protocolos de
comunicación…etc.
o Ejecución de todos los procesos de actividades contemplados en la anterior
tecnología y comprobación de resultados.
o Control de flujo de datos y rendimiento durante las pruebas sobre datos.
Todas las pruebas realizadas deberán de quedar registradas en la base de datos de

capacidad (CBD). La realización de esta fase de pruebas elimina la realización de la
fase de pruebas de gestión de cambio. Se debe de crear una salvaguarda de la
configuración anterior en caso de fallos de sistema o incompatibilidades que será
guardada en un servidor de Backups*.
Backups* es una copia de seguridad para aplicaciones y datos
55
6.5 Protección contra código malicioso y descargable

Controles contra código malicioso
El análisis de amenazas es uno de los grandes campos en la seguridad informática. Para

poder tomar medidas contra las posibles amenazas informáticas hay primero que
identificar cuáles son las más relevantes. Según el estudio de análisis de amenazas
(véase Anexo A) se pueden clasificar las amenazas en 5 grandes campos: Malware,
Buffer Overflow, Inyecciones de SQL, Denegación de Servicio y técnicas de Ingeniería
Social. En el siguiente cuadro se muestran la solución propuesta para cada una de estas
amenazas:
Tipo de Ataque Peligrosidad Solución Propuesta

Security Suite
Malware Alta IPS/IDS
Jerarquía de Firewall a 3 niveles
Curso de Seguridad para
Buffer Overflow Baja
programadores
Curso de Seguridad para
Inyecciones de SQL Media
programadores
IPS/IDS
Denegación de Servicio Alta Jerarquía de Firewall a 3 niveles
Servidor de Acceso
Sistema de Clave Pública
Ingeniería Social Alta
Cursos de Seguridad para personal
(27) Análisis de Amenazas

o Security Suite
El término Security Suite se refiere al conjunto de herramientas para la protección

contra malware que está disponible por los principales fabricantes: Panda, MacAfree
,Symantec..etc. Este paquete de seguridad debe incluir las siguientes herramientas:
o Sistema de detección, aislamiento y eliminación de malware con auto-

actualización de su base de datos.
o Sistema de identificación de posibles amenazas.
o Firewall personal con sistema de detección de intrusos.
Su instalación es recomendable en todos los equipos de trabajo de la organización. Así

como en el servidor web y de correo corporativo. En este último servidor se debe incluir
una herramienta anti-spam.
56
o IPS/IDS
Un IDS es un dispositivo de seguridad que supervisa actividades del sistema de red,

analizando comportamiento malicioso y reacción en tiempo real contra actividades de
comportamiento sospechoso. Entendiendo por comportamiento sospechoso aquellas
actividades que se salen de la rutina de trabajo.
Cuando se detecta un ataque ya sea de para sacar información de forma fraudulenta del
sistema o para conseguir que se caiga el sistema avisa de la intrusión. Un IPS es un
dispositivo de seguridad con las mismas cualidades que un IDS. Pero la diferencia de
este último es que el IPS bloquea los ataques dejando la posibilidad de que el resto del
tráfico continúe.
o Jerarquía de Firewall a 3 niveles
Una jerarquía de Firewall a 3 niveles [JSH106] consiste en una combinación de distintos

firewall en todo el sistema informático. Los firewalls son los siguientes:
-Filtro de Paquetes: Su objetivo es el de filtrar paquetes IP según su cabecera basado

en la dirección IP de origen y destino y el puerto TCP/UDP de origen y destino.
Trabaja a nivel de red (modelo OSI).
-Gateways: Su objetivo es no permitir el tráfico entre dos redes si no es mediante un

proxy*. Trabaja a nivel de aplicación (modelo OSI).
-Inspección de estados: Es una evolución del filtrado de paquetes no se limita a

comprobar que el paquete este correctamente estructurado a nivel de red (modelo
OSI) sino también se asegura que el contenido del paquete es correcto a nivel de
aplicación (modelo OSI). Además incluye monitorización activa de conexiones y
guarda estado de intercambio.
El uso del Filtro de Paquetes y Gateway se recomienda para uso general que abarque la
entrada y salida de conexión desde la organización a Internet y viceversa. El uso de
inspección de estados se recomienda para uso inter-departamental y con usuarios de
acceso remoto.
57
o Servidor de Acceso
El papel del servidor de acceso es el de proveer un sistema de control de acceso

mediante usuario y contraseña al sistema informático. Hay muchas herramientas que
pueden proveer este servicio pero deben de cumplir los siguientes requisitos:
o Servicio de autentificación: El cual tendrá una base de datos con usuario y

contraseña que contrastará contra las estaciones de trabajo que soliciten acceso.
o Servicio de Tickets: Se usa para la comunicación entre distintas entidades del
sistema. El servidor crea una clave de sesión para ambas entidades. Su objetivo
es la creación de una comunicación segura entre ambas partes.
Dicho servidor tendrá comunicación con todas las estaciones de trabajo de la

organización. Su ubicación debe de ser protegida lógica y físicamente con acceso de su
configuración solo para personal de seguridad.
o Sistema de Clave Pública
Un sistema de clave pública (véase Anexo B) asegura la emisión de contraseñas seguro

para todo el personal de la organización. Es un sistema de asimétrico con emisión de
certificados para clave pública para la contraseña personal y certificados para clave
pública para la verificación de identidad. El sistema consta de un servidor central de
emisión de certificados y otro para la generación de claves.
o Curso de Seguridad para personal
La educación en seguridad es algo fundamental pues las malas prácticas representan una
vulnerabilidad para cualquier sistema de seguridad. El curso debe incluir los siguientes
temas: Uso correcto de contraseñas, navegación web segura, uso de certificados y
mecanismo de encriptación, seguridad en ficheros y uso correcto del correo corporativo.
o Curso de Seguridad para programadores
La mayoría de los ataques informáticos se pueden evitar si se incluye una fase de

seguridad en el desarrollo software. Los ataques buffer overflow e inyecciones SQL se
resuelven con una metodología de programación fiable. El curso debe incluir los
siguientes temas: seguridad en redes, seguridad en base de datos, desarrollo de
seguridad en programación web, técnicas de seguridad en programación SQL, seguridad
en programación orienta a objetos y programación estructurada.
Proxy* herramienta para controla el acceso a Internet para todos los equipos de una organización.
58
Controles contra el código descargado en el cliente
El traspaso de código entre cliente y organización será a través de comunicación segura.

Se puede utilizar una comunicación vía VPN o vía SFTP. El cliente no podrá enviar
código si no es con consentimiento expreso del equipo de mantenimiento de software.
Todo código descargado por el cliente deberá ser analizado por el sistema antivirus. La
entrada de dicho código deberá de ser almacenada en un histórico indicado la fuente de
entrada, el destino y el tipo de información que se recibe. El almacenamiento del código
se situará en una tabla temporal en la base de datos de desarrollo.
También se debe de controlar el código descargado para el cliente, el cual debe de ser
contrastado por el equipo de desarrollo. Cada vez que se necesite enviar código al
cliente se deberá de enviar primero un certificado de clave pública con una clave
pública para dicha transacción y los datos empresariales de la organización. El código
será enviado cifrado con la clave privada para la transacción. Después de la transacción
el cliente deberá enviar un acuse de recibo para indicar que la transacción se ha
realizado con éxito. Las claves serán proporcionadas por el servidor de certificados.
59
6.6 Copias de seguridad

Copias de seguridad de la información
Las copias de seguridad son un activo más en la seguridad informático. Estas garantizan
una mayor fiabilidad para los datos en caso de pérdida o robo de información. La
respuesta empresarial para realizar copias de seguridad pasa por la utilización de
dispositivos remotos de almacenamiento. Dichos dispositivos están dotados con
máquinas con múltiples discos duros de alta capacidad y rendimiento configurados en lo
que se llama como RAID*.
Hay diferentes tipos de copias de seguridad [JGall01] dependiendo del tipo de uso que se
le quiera dar: Backup Completa, Backup Diferencial y Backup incremental. El Backup
completo es un procedimiento para la copia de seguridad de todos los archivos de
sistema de disco. Este tipo de copias se recomienda para ficheros de nivel de seguridad
alto (véase plan de seguridad de datos). Este tipo de Backups debe de ser implementada
en el servidor de base de datos de la empresa. Como una regla más se recomienda
realizar el procedimiento cada dos meses mediante un proceso batch. Los datos
copiados serán llevados a un RAID distinto del almacén original a ser posible en una
ubicación física distinta al archivo de datos original. El Backup diferencial es un sistema
para hacer copias solo de aquellos archivos que hayan sido modificados. Se recomienda
para el control de versiones dentro de un entorno de desarrollo. Este tipo de copias de
seguridad debe de realizarlo el equipo de desarrollo manualmente se recomienda el uso
de una jerarquía de ficheros por versiones en el directorio de trabajo del servidor de
datos de desarrollo. Esta práctica está más que recomendada en los procesos de
desarrollo sobre todo para evitar posibles fallos en cambios de código. Y por último el
Backup incremental se copia solo para aquellos archivos que hayan sido añadidos
nuevos su uso se puede utilizar para realizar copias de seguridad de configuración para
sistemas operativos. Dicho mecanismo se puede realizar a través de discos de seguridad
portátiles identificables (se desaconseja el uso de memorias flash extraíbles) con la
estación de trabajo donde se realiza la copia, el sistema operativo, la fecha y el
responsable de la copia. Se recomienda que dichos discos de seguridad estén bajo la
custodia del equipo de seguridad de la empresa.
Raid * es un sistema de almacenamiento que usa múltiples discos duros entre los que distribuye o replica los datos.
60
6.7 Gestión de seguridad en redes

Controles de redes
Se entiende como una red un conjunto de ordenadores/host de interactuarán entre sí a

través de un servicio de comunicaciones. En dicha red todos los host tienen una
identificación IP privada para comunicarse con los demás host de su red y una IP
pública para la comunicación con otras redes. Cuando un host se comunica con otros
miembros de su red quiere que la información que vaya dirigida a uno o varios
miembros de su propia red. Para poder garantizar la confidencial e integridad de la
información en la red surge la necesidad de tener una identificación firme de todos los
miembros de dicha red (IPs privada) y poner obstáculos a aquellos que quieren
entrometerse en dicha red. De ahí surge la necesidad de crear un DMZ.
BORDER INTERNAL
FIREWALL FIREWALL
INTERNET
ROUTER SWITCH RED

PRÍVADA
IPS
SERVIDOR SERVIDOR
WEB CORREO
DMZ
(28) DMZ
En los sistemas de seguridad para la información una zona desmilitarizada o DMZ es

una red perimetral que está situada entre una red local privada y el acceso a Internet.
Las ventajas de este tipo de sistemas es que las conexiones del exterior no tienen porque
saber la existencia de las redes privadas internas. Debido a que no tiene porque conocer
sus IP privadas gracias a la utilización del sistema NAT. NAT es un sistema de
traducción de direcciones de red para el intercambio de paquetes IP entre dos redes.
61
Un perímetro de seguridad con DMZ está por tres interfaces:
o Interfaz de Área Pública
La parte pública del DMZ es aquella que se conecta con el exterior, su tarea es la de
controlar el tráfico que sale y entra del perímetro de seguridad y evitar ataques externos.
Está compuesto por el router y el border firewall. El objetivo del router es la de
comunicación entre el perímetro e Internet. Para ello proporcionan el sistema de
traducción NAT para el direccionamiento de paquetes IPs. Además proporciona
medidas de protección básicas al ocultar las direcciones IP privadas. El objetivo
principal del border firewall es evitar ataques externos. Las reglas [MiTe09] que debe de
tener un border firewall son:
-Denegar todo el tráfico a menos que este explícitamente permitido (Para ello tendrá
implementado una tabla de tráfico como la descrita en la sección de procedimientos de
operaciones)
-Bloquear los paquetes que afirmen pertenecer a un perímetro de red interna.
-Bloquear los paquetes salientes que afirmen tener una fuente externa con dirección IP.
(El servidor Web será el encargado de decir que direcciones externas serán las validas)
-Permitir la negociación de nombres DNS para la conexión hacía Internet y desde DNS
anunciante.
-Permitir el tráfico SMTP saliente y entrante desde el perímetro.
-Permitir el tráfico procedente de VPN y servidores externos VPN.
o Interfaz de Zona de Servidores
Es la zona intermedia la cual se encarga de comunicaciones entre el exterior y las redes

privadas del perímetro a través de un sistema de servidores. Dicho interfaz está
representado por el servidor web, el servidor de correo y un IPS. El servidor web es el
encarga de que la identificación de usuarios externos que quieran comunicarse con la
red privada a través de una tabla de nombres. Y de las direcciones HTTP permitidas
para la navegación de usuarios externos al exterior a través de una tabla de direcciones
permitidas. El servidor de correo es una herramienta de comunicación fundamental para
la comunicación a través de correo corporativo y es más segura que los servicios de
correo webs. El IPS se encarga de la detección de intrusos como ha expuesto
anteriormente. La diferencia con los firewall reside que estos bloquean el tráfico en base
a unas políticas de seguridad que analizan el contenido del tráfico. Si el contenido del
tráfico no está definido dentro de las políticas de negocio este será bloqueo. Por ello la
necesidad de tener definida una política de seguridad que sean lo suficientemente
flexibles para evitar la inflexibilidad del sistema.
62
o Interfaz de Usuarios
Es la zona interna del perímetro de seguridad está compuesta por las distintas redes
privadas de la organización más el internal firewall. Las redes privadas están
compuestas por equipos de trabajo con IP privada estática interconectadas a través de un
switch con limitación de conexiones. El objetivo principal del internal firewall es el
encargado de evitar ataques internos desde la organización. Para ello debe incluir como
mínimo las siguientes reglas [MiTe09]:
-Bloquear todo los paquetes por defecto

-Bloquear los paquetes que parezcan tener origen con IP interna para evitar suplantación
de identidad.
-Permitir la negociación de nombres DNS para la conexión hacía Internet y desde DNS
anunciante.
-Permitir tráfico TCP basado en consultas internas hacia los servidores DNS.
-Permitir el tráfico SMTP saliente y entrante desde zonas internas.
-Permitir el tráfico procedente de VPN y servidores internos VPN.
-Permitir el tráfico para autentificación mediante el servidor de acceso.
-Apoyo de por lo menos cinco segmentos de red
-Realizar inspección de paquetes de estado para todos los segmentos de red.
-Ruta de tránsito entre todos los segmentos de red conectados sin utilizar NAT.
Seguridad en los servicios de red
Se pueden clasificar los servicios de red en 5 grandes campos: acceso, ficheros,

impresión, correo e información. Para poder acceder a una red el usuario debe
identificarse en su estación de trabajo mediante usuario y contraseña, además su
máquina tendrá que tener una dirección IP fija. El acceso a ficheros dependerá del nivel
de privilegios que tenga el usuario, el gestor de base de datos distinguirá su acceso
mediante una tabla de usuarios. La impresión es un servicio contralado mediante el
protocolo PPS que solo dejará imprimir a los usuarios de red registrados. El correo será
gestionado un el servidor de correo que tendrá un software de control de acceso propio
y un sistema anti-spam. Y por último el control de la información de entrada y salida
será controlado por un servidor web que definirá los servicios HTTP y VPN de la
organización. Poseerá un software para el control de la navegación web, así como un
software para gestionar VPNs. Tendrá implementado una tabla con usuarios externos
para la creación de VPNs.
63
6.8 Manipulación de soportes

Gestión de soportes extraíbles
Los soportes extraíbles se distinguen en tres niveles:
o Discos Duros extraíbles
Los discos duros extraíbles se caracterizan por su gran capacidad y portabilidad. En su

gran mayoría incorporan conexión USB 2.0 que proporciona una velocidad de hasta 250
Mbps. La gran desventaja de este tipo de dispositivos es que son medios con una gran
sensibilidad debido a su mecanismo de posicionamiento. Cualquier golpe puede afectar
de forma considerable a su estructura interna lo que implicaría una pérdida de datos en
la mayoría de los casos. Dado este motivo no se recomienda su uso para almacenar
datos de vital importancia.
o Memorias flash
Las memorias flash o memory stick poseen una conexión USB que permiten almacenar
datos en dispositivos realmente pequeños. Son medios volátiles es decir la información
no se queda almacenada de forma permanente. La desventaja de este tipo de
dispositivos es su sistema de montaje/desmontaje el cual implica en algunos casos el
uso de un software específico. Este hecho podría causar incompatibilidades con algunos
sistemas operativos. Al igual que el uso del formato de archivos también puede limitar
el entorno operativo. Otra de las desventajas es que si no realiza un desmontaje correcto
puede sufrir pérdidas de información. Aunque existen dispositivos flash con
mecanismos de autentificación táctil no se recomienda su uso para el almacenamiento
de información sensible.
o Dispositivos extraíbles no volátiles
Se entiende por dispositivos extraíbles no volátiles a los comúnmente llamados CD-

ROM, DVD-ROM. La desventaja de este tipo de dispositivos es que la parte de
escritura está expuesta al desgaste temporal. Si no se tratan con una serie de medidas de
protección y buen uso, como no exponer la parte de escritura a una exposición física o
agua. Dichos dispositivos son idóneos para el almacenamiento de programas y
ejecutables.
Su uso debe de estar limitado para que no se puedan copiar información vital de la
empresa. Para ello se recomienda que se eliminen las opciones de gestor de copias para
aquellas estaciones de trabajo donde no sean necesarios. Así como bloquear físicamente
puertos USB.
64
Retirada de los soportes
La retira de soportes extraíbles debe de tener en cuenta las capacidades físicas

inherentes a cada dispositivo. Los dispositivos flash o discos duros necesitan la
utilización de un gestor de contenidos para la comunicación con el sistema operativo. Si
no se retiran de forma segura pueden perder los cambios realizados. Incluso bloquearse
el directorio raíz con lo que imposibilitaría el acceso a cualquier tipo de contenido. Para
ello se recomienda utilizar el gestor de dispositivos externos para retirar el dispositivo
de forma lógica ante que física. Los dispositivos extraíbles no volátiles no necesitan la
retira segura del mecanismo. Pero al igual cualquier otro de los dispositivos
mencionados anteriormente, son susceptibles cuando se están utilizando archivos desde
el disco. Por ese motivo se recomienda que la retira de dispositivos se realice después
de haber cerrado todos los archivos del dispositivo que se estén utilizando.
Procedimientos de manipulación de la información
La manipulación de la información deberá de tener en cuenta la importancia de la

utilización de los mismos. Antes de manipular cualquier dato debe de realizarse una
copia de seguridad para evitar que los cambios realizados puedan destruir información
vital para la organización. Para la información sensible (véase plan de seguridad en
datos) se deberá de tener el permiso del responsable directo para poder eliminar las
copias de seguridad.
Seguridad de la documentación de sistema
La documentación de configuración y demás información técnica relacionada con los

sistemas de información deberán de estar guardadas en una base maestra de
configuración centralizada. Dicha base maestra estará colocada en un servidor de base
de datos y solo podrá ser accedido por personal de mantenimiento de sistemas y
seguridad. La comunicación con el servidor se realizará a través de protocolo FTP con
mecanismo de autentificación de usuarios.
65
6.9 Intercambio de información

Políticas y procedimientos de intercambio de información
En todo proceso de intercambio se tendrán en cuenta el nivel de privilegios que tenga

los usuarios afectados (véase plan de seguridad en datos) en los casos de
comunicaciones internas. Y la gestión de servicio a terceros presente en este plan para
las comunicaciones externas. Todo intercambio que produzca un hábito o acción
repetida, en el cual intervenga dos usuarios de forma directa o indirecta (dado el caso de
un proceso de mecanización) deberá quedar bajo constancia en un registro
informatizado. Ya sea en el plan de gestión de proyecto en caso de desarrollo de un
proyecto o en el plan de seguridad de la empresa en caso de acciones de mantenimiento
o de negocio.
En las comunicaciones internas quedan divididas entre dos tipos, las comunicaciones
interdepartamentales y las comunicaciones departamentales. Las comunicaciones
interdepartamentales hacen referencia en comunicaciones entre departamentos dentro de
la organización. Dichas comunicaciones deberán de llevar el visto bueno del jefe de
departamento siendo el responsable de las transacciones. Las comunicaciones
departamentales hacen referencia a comunicaciones dentro del mismo departamento. La
responsabilidad de las transacciones recae sobre el empleado emisor de dicha
información. La información transmitida a cada usuario deberá de ser acorde con el
nivel de privilegios que disponga. En caso contrario la responsabilidad recaerá en el
emisor de dicha información y en el receptor si se demuestra que ha accedido a dicha
información. Queda terminantemente prohibido que intervenga cualquier personal ajeno
a la organización en las comunicaciones internas.
Las comunicaciones externas son aquellas que se realizan entre la organización y sus
proveedores, socios o clientes. Se debe de garantizar que el flujo de información se
realiza a través de una comunicación segura. Para ello se establecerá un túnel seguro a
través de tecnología VPN entre el agente externo y el agente interno. El agente interno
deberá de tener el consentimiento por escrito vía e-mail de su jefe de departamento para
poder realizar la comunicación. La información que se envía se considera como
producto si se trata de un cliente, valor estratégico si se trata de un socio o información
de soporte si se trata de un proveedor. El formato será en PDF para texto con firma
digital de la empresa. La firma digital será proporcionada por la entidad de certificación
de la empresa (véase Anexo A) y será única. Para cualquier otro tipo información
deberá de estar comprimida y bajo contraseña. El producto debe de garantizar la
aprobación del jefe de proyecto antes de ser enviado deberá de incluir constancia de la
fecha de emisión, un identificador e información de la empresa. Las transacciones de
valor estratégico o de soporte deberán de estar en conocimiento de los respectivos jefes
de departamento. El receptor de información de la organización deberá enviar un acuse
de recibo con la recepción correcta de la misma.
66
Acuerdos de intercambio de información
Las comunicaciones externas serán detalladas en un acuerdo de comunicación entre el

agente externo y la organización, los puntos a tratar en dicho documento son los
siguientes.
o La naturaleza y propósito de las comunicaciones entre las dos partes.

o Tipo de información que se intercambiará, especificando su formato, tipo de
aplicación que se dé, nivel de seguridad, formato de compresión…etc.
o Política de fechas y sello, indicando la fecha de emisión, fecha de recepción,
garantía de envió.
o Política de firma digital, donde se indicarán la firma digital de la empresa y la
del agente externo, así como los algoritmos criptográficos.
o Sanciones por incumplimiento entre ambas partes.
o Fecha de apertura y cierre de las transacciones.
Soportes físicos en tránsito
La información contenida en los soportes en tránsito deberá de tener en cuenta su nivel

de seguridad del plan de seguridad de datos y deberá de ser encriptada si es necesario.
La responsabilidad de los soportes físicos en tránsito recaerá en el encargado de
portarlos. Y las sanciones que se le apliquen en caso de extravío o robo deberán de tener
en cuenta la naturaleza de dicha información y la política de sanciones de la empresa
dueña de dicha información. Se recomienda el uso de dispositivos GPS para la
información de nivel de seguridad alto.
Mensajería electrónica
Toda información comercial en las comunicaciones internas o externas deberán de ser

transmitidas a través del servicio de mensajería electrónica de la empresa en caso de no
utilizar un soporte físico. Los mensajes deberán de llevar acuse de recibo en las
comunicaciones externas. Todo mensaje deberá de incluir la firma digital del emisor y
la firma digital de la organización. La encriptación de mensajes se realizará para
información de alto nivel de seguridad. La gestión de mensajes se realizará a través de
una aplicación corporativa para garantizar la seguridad de las transmisiones. No se
recomienda la utilización de servicio de correo web ya que la seguridad dependerá
directamente del navegador web que se esté utilizando.
Sistemas de información empresariales
Los sistemas de información empresariales deberán de ser aprobados por el equipo de

seguridad de la empresa y cumplir los niveles de seguridad del plan de seguridad de
sistemas.
67
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
7 PLAN DE SEGURIDAD
EN CONTROL DE ACCESO
Propósito
El control de acceso a los sistemas de información impide que usuarios mal

intencionados puedan tener acceso a recursos informáticos, sensibles para cualquier
organización. De este planteamiento surge la necesidad de desarrollar un perímetro de
seguridad lógico para los recursos informáticos. Para ello, está previsto seguir como
referencia los capítulos 11 de la ISO 27002 guía de buena práctica de controladores
recomendados para la seguridad. Para el cumplimiento de estos objetivos tenemos que
contemplar una política de gestión de usuarios, la creación de una zona centralizada de
servidores, creación de una infraestructura de clave pública, mecanismos de
comunicaciones seguras con el exterior y teletrabajo.
Alcance

decir a todos los usuarios de la empresa sean internos o externos.
Objetivos
11. Control de Acceso

11.1. Requisitos de negocio para el control de acceso
11.1.1. Política de control de acceso
11.2. Gestión de acceso de usuario
11.2.1. Registro de usuarios
11.2.2. Gestión de privilegios
11.2.3. Gestión de contraseñas de usuario
11.2.4. Revisión de los derechos de acceso de usuario
11.3. Responsabilidades del usuario
11.3.1. Uso de contraseñas
11.3.2. Equipo de trabajo desatendido
11.3.3. Política de puestos de trabajo despejados y pantalla limpia
68
11.4. Control de acceso a red

11.4.1. Política de uso de los servicios de red
11.4.2. Autentificación de usuario para las conexiones internas
11.4.3. Identificación de equipos en las redes
11.4.4. Control de conexión a la red
11.4.5. Control del encaminamiento en la red
11.5. Control de acceso al sistema operativo

11.5.1. Procedimientos seguros de inicio de sesión
11.5.2. Identificación y autentificación de usuario
11.5.3. Sistema de gestión de contraseñas
11.5.4. Uso de los recursos del sistema
11.5.5. Desconexión automática de sesión
11.5.6. Limitación del tiempo de conexión
11.6. Control de acceso a las aplicaciones y a la información
11.6.1. Restricción del acceso a la información
11.6.2. Aislamiento de sistemas sensibles
11.7. Ordenadores portátiles y teletrabajo
11.7.1. Ordenadores portátiles y comunicaciones móviles
11.7.2. Teletrabajo
69
7.2 Requisitos de negocio para el control de acceso
Política de control de acceso
La política de control de acceso debe de contemplar todos los puntos necesarios que se
pueden encontrar en el acceso lógico de los sistemas de información. Para ello es
necesario crear un diseño que contemple todas las necesidades de soporte lógico
informático que pueda necesitar una organización. Un modelo general se muestra a
continuación, donde se exponen 4 campos lógicos: la zona azul o FIREWALL
SYSTEM, la zona verde o DMZ SYSTEM, la zona amarilla o INTERNAL NET y la
zona roja o SECURITY NET.
BACKUPS BACKUPS
Alta BBDD Baja BBDD

ESTACIÓN SISTEMA
BIOMÉTRICO
VPN
EXTERNA
VPN
VPN
DATA SERVIDOR
NETWORK FTP
IDS SERVIDOR
BBDD SECURITY SERVIDOR
NETWORK DE ACCESO
INTERNET
VPN
ROUTER SERVIDOR
CORREO
FIREWALL IPS
SECURITY
FIREWARE
SERVIDOR ADMINISTRADOR
MONITORIZACIÓN
WEB
NETWORK
SERVIDOR
DNS&DHCP EXTERNO
VPN
SERVIDOR
FIREWALL SYSTEM SERVIDOR
WEB DMZ NET DE CLAVES
SWITCH
INTERNAL NET
LOCAL USER NETWORK LOCAL APPLICATION NETWORK

PKI
SERVIDOR NETWORK
DNS&DHCP INTERNO SERVIDOR DE
CERTIFICADOS
T
C
SISTEMA DE
TARJETAS INTELIGENTES SERVIDOR SECURITY NET
DE APLICACIONES
ESTACIÓN DE TRABAJO
(30) Sistema Perimetral Lógico de Seguridad
La zona azul o FIREWALL SYSTEM es la zona de identificación se encarga de

controlar que ningún agente externo pueda entrar en el sistema. La zona verde o DMZ
NET es la zona de control, tratamiento datos y de la gestión de comunicación con el
exterior; esta divida en dos subredes: la red para el tratamiento de datos o DATA
NETWORK y la red para comunicación web y con el exterior WEB NETWORK. La
zona amarilla o INTERNAL NET es la zona de trabajo interno, compuesta por la red de
aplicaciones LOCAL APPLICATION NETWORK y la red de estaciones de trabajo
LOCAL USER NETWORK. La zona roja o SECURITY NET controla la seguridad de
todo el sistema. Al mismo tiempo, proporciona control de acceso a servidores, puestos
de trabajo, monitorización de actividades y auditorias a través de SECURITY
NETWORK. Además la zona roja incorpora una infraestructura de clave pública dada
por PKI NETWORK.
70
7.3 Gestión de acceso de usuario
Centralización de acceso
LDAP (en español, Protocolo Ligero de Acceso a Directorios) es un protocolo de nivel

de aplicación que posibilita el acceso a servicios de directorio distribuido para buscar
información. Los sistemas de identificación modernos se basan en aplicaciones
centralizadas basadas en LDAP, por su comodidad y eficacia.
La existencia de un directorio (conjunto de objetos organizados lógicamente) permite la

posibilidad de crear estructuras lógicas eficientes. Por ejemplo, para guardar la
información de usuario y contraseña de usuarios se utilizan tablas hash*. Dicha
directorio puede estar almacenado en un servidor de directorios y poder acceder de
forma local a través de programas cliente-servidor. También tiene la posibilidad de
almacenar recursos de red, certificados, jerarquía de permisos…etc.
Algunos de los beneficios de la utilización de un sistema centralizado LDAP son:
 Mayor efectividad y eficacia en la gestión de tecnología de la información.

 Acceso y autentificación a servicios de red y aplicaciones desde estaciones de
trabajo basadas en Plataforma Windows o Unix.
 Acceso a un servicio de directorio corporativo, servidor de archivos, servidor de
correo, impresora, acceso a Internet y base de datos.
 Administración de servicios, políticas, directivas de acceso, seguridad, red, etc.
basados en una identidad digital única.
Pero como toda tecnología también tiene algunas desventajas:
 Acceso a los servicios a través de una única contraseña. Aunque las contraseñas
sean seguras y generadas por algoritmos criptográficos fuertes. La posibilidad de
que en un ataque se consiga la contraseña, implicaría la necesidad de
reestructuración del sistema de autentificación de todos los servicios. Del mismo
modo, comprometería la confidencialidad de los archivos asociados a dichos
servicios, al no estar diversificada la autentificación.
 Vulnerabilidad ante ataques DoS. Al tener un sistema centralizado esto implica
la utilización de un servidor que puede fallar en sus servicios. Los ataques a este
tipo de servicios son habituales, por lo que hay que tomar medidas de protección
como la utilización de un sistema IPS o imprentar el protocolo IP versión 6.0.
Sin embargo y aunque pueda producir ciertas complicaciones a la hora de acceder al

sistema de información. Se recomienda la utilización de este tipo de sistemas por su
rapidez y facilidad de uso.
tabla hash* estructura lógica con la relación clave, valor.
71
Registro de usuarios
El registro de usuarios se encontrará ubicado en el servidor de claves de la zona roja. En

dicho registro de usuarios se encontrarán las siguientes tablas:
Datos personales
Privilegios
PK,FK2 Identificador
PK,FK1 Nivel de Seguridad
1
Nombre * PK Clase Fichero
Apellidos
Acceso
Profesión
Modificación
Status
Cancelación
Nivel de Seguridad
*...0
Claves
PK Identificador
Clave pública
Clave privada
Fecha emisión
Fecha caducidad
CRL
(31) Entidad/Relación usuarios
Cada usuario tendrá un identificador inequívoco, un nivel de seguridad asignado y un

status que indicará si el usuario esta dado de baja. También poseerán un par de claves
una pública y otra privada que tendrán una duración máxima de utilización dado por la
fecha de emisión y fecha de caducidad. Cuando un usuario quiera darse de alta enviará
un correo al equipo de seguridad con sus datos personales. El equipo de seguridad
contrastará los datos con el departamento de recursos humanos. Y ante una
identificación positiva dará de alta al usuario. Del mismo modo, recursos humanos
solicitará dar de baja a un usuario al equipo de seguridad cuando sea preciso.
Gestión de privilegios
Cada usuario tendrá una serie de privilegios en los ficheros según sea su nivel de
seguridad. Según podemos observar en el diagrama entidad relación (31), cada fichero
tiene un nivel de seguridad asociado. Que según el tipo de fichero tendrá una serie de
privilegios de acceso, modificación o cancelación (véase plan de seguridad en datos).
Cuando un usuario inicie su sesión de trabajo, el gestor de base de datos consultará la
tabla fichero para saber qué tipo de privilegios tiene este usuario y sobre qué tipo de
ficheros.
72
Gestión de contraseñas de usuario
La gestión de contraseñas de usuarios es una labor de la autoridad de certificación

(véase Anexo B). En el esquema representado anteriormente, la autoridad de
certificación corresponde al equipo de seguridad. La labor del equipo es la de dar un par
de claves (pública, privada) a cada empleado de la organización. Dichas claves
representarán las contraseñas hábiles para el sistema. Además de dar una jerarquía de
privilegios si se implanta una política de generación de claves distinta para cada nivel de
seguridad.
Cada empleado dispondrá de una tarjeta inteligente la cual llevará incorporado un chip
con información personal y su clave privada. La clave pública del usuario es de
conocimiento para todo los usuarios del sistema. A cada empleado le llegarán las claves
a través de un canal seguro a su equipo de trabajo.
Las claves serán trasportadas a través de certificados con la firma digital de la empresa.
Un programa gestor instalado en cada equipo de trabajo llamado autoridad de registro
será el encargado de la gestión local de claves en cada equipo. La labor de dicho
programa será la de actualizar el software del chip de la tarjeta inteligente con la ayuda
de un dispositivo hardware y la de hacer conocer al usuario su clave pública. También
deberá de comprobar la veracidad de los mensajes que reciba el usuario a través de una
consulta a la autoridad de verificación.
La autoridad de verificación es un programa instalado en el servidor de claves (zona

roja). El cual será el encargado de verificar si un usuario esta dentro del sistema a través
de una consulta al registro de usuarios. Cada vez que una autoridad de registro haya una
petición a la autoridad de verificación sobre un usuario. Esta le responderá con un
mensaje ACK (Acknowledgment) o NACK (no Acknowledgment).
Revisión de los derechos de acceso de usuario
Cuando los privilegios de usuario cambien por cambios en la relación laboral con la
organización. Dichos cambios serán enviados por el departamento de recursos humanos
al departamento de seguridad informática vía mail con firma digital del departamento de
recursos humanos. El departamento de seguridad informática se encargará de realizar
los cambios pertinentes en el registro de usuarios en el servidor de claves.
Si el registro de usuarios se encuentra duplicado en otros servidores, estas replicas

deberán de ser también actualizadas. A cada servidor se le enviaran una query para la
modificación para cada copia del registro de usuario. Las comunicaciones entre
servidores serán a través de un canal seguro e independiente a las comunicaciones
exteriores y a la zona/s amarilla/s.
73
7.4 Responsabilidades del usuario
Uso de contraseñas
Cada certificado que reciba el usuario será introducido en el sistema del equipo de
trabajo. Los certificados que reciba serán el personal (con sus claves pública y privada),
el del departamento (para la firma digital del departamento), el empresarial (para la
firma digital de la empresa) y el certificado raíz (para indicar la autoridad de
certificación). La autoridad de registro será la encargada de gestionar dichos
certificados. Dichos certificados proporcionarán la información necesaria para realizar
las siguientes tareas:
o Validación del usuario a través de su tarjeta inteligente para acceder al sistema.

o Encriptación de archivos
o Acceso a Ficheros
o Acceso a Programas
o Enviar correos con firma digital o cifrados
Equipo de trabajo desatendido
Es responsabilidad del usuario velar por la confidencialidad de su trabajo. Dejar el

equipo de trabajo desatendido se traduce como una vulnerabilidad del sistema. Para
evitar este tipo de situaciones se pueden implantar dos políticas. Bloquear el equipo si el
periodo de inactividad supera un par de minutos. O Bloquear el equipo utilizando
accesos rápidos. Dichas funcionalidades son proporcionadas por la mayoría de los
sistemas operativos [Lock09].
Política de puestos de trabajo despejados y pantalla limpia
Para todos los puestos de trabajo deberá de haber una política restrictiva en cuanto a la
utilización de software no corporativo. Una gran parte de los ataques de externos vienen
por la utilización de software gratuito que a menudo vienen incluidos con adware* y
spyware* (véase Anexo A). Para evitar dichos problemas todos los derechos de
administración deberán de estar bloqueados en los puestos de trabajo. Cada vez que un
usuario quiera instalar un nuevo programa deberá de pedir una solicitud de cambio
(véase plan de seguridad en sistemas). Esta política puede ser flexible para equipos de
desarrollo software.
En cada puesto de trabajo también se ha de velar por la higiene y el orden. Se

recomienda no dejar elementos innecesarios para la realización de trabajo. Así como
evitar las comidas y bebidas en los puestos de trabajo.
Adware* programa que muestra publicidad no deseada
Spyware* programa espía para la recopilación furtiva de información de un sistema
74
7.5 Control de acceso a red
Política de uso de los servicios de red
El diagrama que se muestra a continuación corresponde a un DMZ, esta sacado del

esquema general sacado del apartado de política de acceso.
BACKUPS BACKUPS
Alta BBDD Baja BBDD
VPN
VPN
DATA SERVIDOR
NETWORK FTP
SERVIDOR
BBDD
SERVIDOR
CORREO
WEB
NETWORK
SERVIDOR
DNS&DHCP EXTERNO
SERVIDOR
WEB DMZ NET
(32) Zona de servidores
El acceso a dicha zona está controlado por dos firewall, un firewall central para el
acceso de puestos de trabajo con identificación IP fija, como se explicará en la sección
de identificación de equipos de equipos en las redes. Y un segundo acceso para el
control de configuración accesible solo por el administrador de seguridad a través de la
zona de roja o security net.
La zona verde esta divida entre dos redes: DATA NETWORK y WEB NETWORK. La
red de datos está compuesta por dos servidores: un servidor central de base de datos
para el acceso a ficheros de nivel de seguridad alto y extremo (solo posible a través de
comunicación segura VPN), y otro servidor de acceso FTP para ficheros de nivel de
seguridad básico, medio-bajo, medio, medio-alto. Dichos sistemas están previstos de un
sistema de backups para realizar copias de información de forma periódica.
75
WEB NETWORK es una zona reservada para la comunicación con el exterior y la

navegación web en general. En dicha zona se encuentran el servidor de correo en él se
instalará el correo corporativo de la organización. El correo corporativo deberá incluir
un sistema contra correo basura (anti-spam), la posibilidad de poder enviar correos
firmados y cifrados, servicios POP, SMTP y comunicaciones SSL, TLP. En cada equipo
de trabajo deberá de incluir un gestor de correo en el cual tendrá instalado la cuenta de
correo corporativo del usuario del equipo de trabajo, además de incluir el certificado
personal, el departamental y el corporativo. En el servidor web se encontrará las páginas
web autorizadas por la corporación. Ninguna estación de trabajo podrá navegar por
páginas no aprobadas por la corporación Para la elección de las páginas webs seguras se
recomienda seguir los consejos de la OWASP. Además puede incluir la localización de
los ficheros de la/s página/s web de la corporación. El servidor DNS & DHCP externo
contendrá aquellos direcciones IPs externas al perímetro de seguridad que se consideren
de confianza para la organización. Ningún equipo de trabajo interno podrá acceder a un
equipo externo si este no se encuentra registrado en el servidor DNS & DHCP. Todos
los servidores poseerán además una versión empresarial de un sistema anti-malware.
INTERNAL NET
LOCAL USER NETWORK LOCAL APPLICATION NETWORK
SERVIDOR
DNS&DHCP INTERNO
C
SISTEMA DE
TARJETAS INTELIGENTES SERVIDOR
DE APLICACIONES
ESTACIÓN DE TRABAJO
(33) Zona interna
La zona amarilla o INTERNAL NET está pensado para los equipos de trabajo del
perímetro de seguridad, está compuesto de dos redes. La LOCAL USER NETWORK
para la estaciones de trabajo con un sistema de tarjetas inteligentes para el acceso al
sistema. Los puestos de trabajo pueden ser PC normales para los equipos de desarrollo o
Thin Client para los equipos de administración. Y la APPLICATION NETWORK está
pensada para el acceso a aplicaciones por parte de los Thin Client gracias a la
incorporación de un servidor de aplicaciones. Además cuenta con un servidor DNS &
DHCP interno donde se guardarán las direcciones de todos los equipos de trabajo. La
información de este servidor será enviada al sistema de firewalls para el control de
usuarios.
76
SECURITY SERVIDOR
NETWORK DE ACCESO
SERVIDOR ADMINISTRADOR
MONITORIZACIÓN
SERVIDOR
DE CLAVES
PKI
NETWORK
SERVIDOR DE
CERTIFICADOS
SECURITY NET
(34) Zona de Seguridad
La zona roja es la encargada por velar la seguridad del sistema perimetral, está
compuesta dos redes. SECURITY NETWORK para la monitorización y control de
acceso al sistema, está compuesta compuesto por dos servidores. El servidor de acceso
que posee una copia del registro de usuarios del servidor de claves. Cada vez que un
usuario introduce su tarjeta por el detector de tarjetas de su estación de trabajo. El
programa gestor de tarjetas realizará una consulta al servidor de acceso. Si el servidor
de acceso no encuentra la información de usuario en el registro de usuarios. Enviará una
respuesta negativa al gestor de tarjetas, el cual no dejará que el usuario acceda al
sistema. También notificará al servidor de monitorización que ha habido un acceso no
autorizado en el sistema guardándolo en un registro de logging. En caso contrario
enviará una notificación correcta al programa gestor de tarjetas. También enviará una
notificación a los demás servidores para decirles que el usuario está conectado y que le
deje acceder a la información correspondiente con su nivel de seguridad. El servidor de
monitorización se encarga de recabar información de acceso al sistema y otro tipo de
información importante. El servidor recoge información de logging cada vez que un
usuario entra y sale del sistema, dicha información se la proporciona el servidor de
acceso. También recoge información sobre cambios que se hayan podido producir en
los ficheros, proporcionada por el servidor de BBDD y FTP. Información sobre tráfico
proporcionada por los firewalls y avisos del IPS.
77
PKI NETWORK es la red encargada de mantener la infraestructura de clave pública

(véase Anexo B). En dicha red se encuentra dos servidores, el servidor de claves y el
servidor de certificación. La función principal del servidor de claves es la de generar
claves y asignarlas al usuario correspondiente. Para ese motivo tendrá implantado el
algoritmo de generación de claves (se recomienda ECDSA como se comenta en el
Anexo B) y también el registro de usuarios (31). Cada usuario tendrá un par de claves
las cuales tendrán un periodo de validez máximo. Las claves serán enviadas al servidor
de certificación. El servidor de certificación se encarga de enviar las claves de forma
segura a los distintos destinatarios. Un programa llamado autoridad de certificación será
el encargado de generar los certificados y firmarlos con la firma digital de la
organización. Después enviará el par de claves al dueño de dichas claves. También
genera certificados departamentales y de la organización para la identificación entre
departamentos y entre organización y agentes exteriores. Cuando el tiempo de validez
de claves expire el servidor de claves generará un nuevo par de claves y el servidor de
certificación generará un nuevo certificado. Con la recepción del certificado por su
destinatario quedarán invalidadas el par de claves antiguas.
Autentificación de usuario para las conexiones internas
Cada equipo de trabajo tiene asignado una IP fija la cual está incluida en una tabla de
redes de equipos. El firewall central en la zona azul (30) poseerá una copia de dicha
tabla de redes la cual será dada por el servidor DNS & DHCP interno zona amarilla.
Desde dicho servidor se controla el acceso de todos los usuarios internos del sistema. El
firewall también recibirá información para IPs de equipos externos del sistema que
también tengan el permiso para acceder a conexiones internas. El acceso a los
servidores solo será posible para el equipo de trabajo, quedando la dirección de red de
dichos servidores ocultos para los usuarios. El Security Firewall será el encargado de la
comunicación entre servidores teniendo una tabla de redes independiente donde se
incluirá las direcciones de los servidores de la zona amarilla, zona verde y zona roja.
Los usuarios no podrán acceder a las comunicaciones entre servidores, solo podrán
acceder a los servidores para la realización de consultas y gestión de ficheros quedando
imposibilitada la modificación de la configuración de los servidores. Para ello todos los
servidores tendrán un gestor de acceso independiente al sistema de gestión de acceso
centralizado para la realización de modificaciones en la configuración. Dicho gestor
solo tendrá implantado un par usuario-clave que tendrá todos los derechos de
administración. Dicho par se considera un activo vital para la seguridad del sistema de
información. Solo será de conocimiento del equipo de seguridad quedando bajo su
responsabilidad el uso que hagan de la misma.
78
Identificación de equipos en las redes
La política de direcciones será direcciones IPs de tipo C utilizando la técnica de

subredes del tipo todos cero y todos uno soportadas por el protocolo RFC 1812 [IBM09].
En la tabla que se muestra a continuación se encuentra un ejemplo según el modelo
expuesto anteriormente (30):
Zona Red Equipo Descripción

208.222.150.0/0…253 Estaciones de trabajo
LOCAL USER NETWORK
Zona Amarilla
208.222.150.32/0 Servidor DNS &DHCP interno
LOCAL APLICATION NETWORK
208.222.150.32/1 Servidor de aplicaciones
208.222.150.64/0 Servidor de BBDD
DATA NETWORK
208.222.150.64/1 Servidor FTP
Zona verde 208.222.150.96/0 Servidor de correo
WEB NETWORK 208.222.150.96/1 Servidor web
208.222.150.96/2 Servidor DNS &DHCP externo
208.222.150.128/0 Servidor de acceso
SECURITY NETWORK
208.222.150.128/1 Servidor de monitorización
Zona roja
208.222.150.160/0 Servidor de claves
PKI NETWORK
208.222.150.160/1 Servidor de certificación
Mascará de Red 255.255.255.224
(35) Tabla ip
Los tres primeros números de la dirección IP los da el proveedor de servicios de internet

(ISP). El cuarto número identifica a la red los números tienen que ser potencia de 2
obligatoriamente. Después de la dirección IP principal se incorpora un quinto número,
el cual indicará el host de la máquina. Para el diseño expuesto en este plan se necesitan
7 números diferentes para las 7 redes del sistema, cada red puede tener hasta 254 host.
En la LOCAL USER NETWORK se emplearán tantos host como usuarios necesite el
sistema. La asignación correrá a cargo del equipo de trabajo. En las 6 redes restantes
solo se necesitará tener de 2 a tres host abiertos. El equipo de seguridad debe de
bloquear los host restantes en todas las redes con el fin de evitar intrusos externos.
79
Control de conexión a la red
IDS
IPS
DMZ NET
ROUTER
FIREWALL
SECURITY
FIREWARE
VPN
FIREWALL SYSTEM
SWITCH
(36) Control de red
La información de la tabla IP del apartado anterior será divida entre los dos firewall
existentes. Para el primer firewall se le pasará las direcciones de la LOCAL USER
NETWORK, y la zona verde. Para el firewall security se le pasará las direcciones de la
zona amarilla, zona verde y zona roja. La información de la tabla IP solo debe de ser
conocida por el equipo de seguridad quedando la gestión de la tabla bajo su
responsabilidad. Cualquier violación de la tabla para el acceso a servidores deberá de
ser detectado por el IDS instalado en la zona azul y un IPS en la zona roja. Los dos
firewall tendrán implantados las reglas de tráfico expuestas en el plan de seguridad en
comunicaciones.
Cuando un usuario externo quiera conectarse a la red deberá de pasar por la zona azul
del perímetro. La IP de la máquina del usuario remoto deberá de quedar registrada en la
tabla IP, para ello existen dos posibilidades. Una es asignarle una dirección IP dentro
del rango de direcciones de la USER LOCAL NETWORK. Lo que convertiría al
usuario externo en un usuario interno. O la introducción en la tabla IP de una nueva red
para usuarios remotos donde se le asignaría un host concreto. Para cualquiera de las
posibilidades el usuario deberá de ponerse en contacto con el equipo de seguridad
indicando su nombre, apellidos, profesión, nivel de seguridad y MAC de la máquina
remota. El equipo de seguridad contrastará la información con el departamento de
recursos humanos y ante una identificación positiva concederán una dirección válida
para el sistema al usuario.
80
Control del encaminamiento en la red
Al utilizar subredes el algoritmo de encaminamiento cambia del utilizado habitualmente

con direcciones IP clásicas. El router y switch/es (puede haber la posibilidad de tener
varias zonas amarillas) del sistema deberán de poder implementar algoritmos IP que
soporten “subnetting” [Ditec09]. El algoritmo a aplicar en este tipo de encaminamiento
sería el siguiente:
Error de Conexión
SI
NO ¿Contador>10?
Consultar la
¿UNION(dirección IP de destino, mascara
tabla IP del
Contador=0 de subred)= UNION(dirección IP de origen, NO
firewall central
mascara de subred)?
Contador++
Inicio
SI
Conexión
(37) Encaminamiento
En el diagrama de arriba muestra el algoritmo con el cual el router o switch pondrá en

contacto la máquina origen con la máquina solicitada. En la negociación buscará el
camino más corto entre la dirección de origen y de destino consultando la tabla IP del
firewall central de la zona azul. En caso de no encontrar ningún resultado después de
más de 10 consultas el sistema considerará que se ha producido un error de conexión y
enviará la incidencia al servidor de monitorización. En caso contrario pondrá en
contacto las dos máquinas y notificará al servidor de acceso. El cual dará una clave de
sesión a cada una de las maquinas para la conexión con el algoritmo MQV (véase
Anexo B). Después de la conexión se enviará información de desconexión al servidor de
monitorización.
81
7.6 Control de acceso al sistema operativo

Procedimientos seguros de inicio de sesión
El inicio de la sesión de trabajo por parte del usuario del sistema se debe de caracterizar
por mantener un equilibrio entre comodidad y seguridad. En el esquema que se muestra
a continuación se muestran las tres posibilidades que tiene el usuario de entrar al
sistema: Remoto, Manual, Automático.
no
Mediante
contraseña
administrador
Remoto
La
Autoridad de
Autoridad
Registro
¿Tipo de Mediante de ¿Usuario y
solicita
entrada al Manual contraseña Verificación contraseña si
identificación a
sistema? usuario comprueba correctos?
la Autoridad de Entrada al Sistema
el registro
Inicio Verificación
de usuario
Automático
Mediante
Tarjeta
inteligente
(38) Inicio de sesión al sistema
El acceso automático al sistema está pensado para aquellos usuarios que posean una
estación de trabajo fija. En dicha estación se instalará un hardware lector de tarjetas y un
software llamado autoridad de registro que se encargará de la gestión de contraseñas en
cada terminal. Cuando el usuario introduzca su tarjeta en el lector de tarjetas, este
enviará la información a la autoridad de registro. La autoridad de registro enviará una
solicitud de autentificación a la autoridad de verificación vía mensaje remoto. La
autoridad de verificación es un programa gestor de claves instalado en el servidor de
acceso, zona roja. Dicho programa se encargará de gestionar las solicitudes de entrada
al sistema y de responder positiva o negativamente según encuentre o no al usuario en el
sistema.
El acceso remoto se contempla para las operaciones de gestión del equipo de seguridad
informático. Desde la consola de control de la zona roja, el equipo de seguridad podrá
entrar a cualquier equipo de trabajo del sistema vía Telnet para realizar tareas de
mantenimiento y monitorización de seguridad. Desde la consola también podrán
acceder a la configuración de administración de cualquier equipo de trabajo.
El acceso manual se contempla para aquellos equipos de trabajo no fijos, es decir

equipos de teletrabajo u ordenadores portátiles. El acceso será mediante la introducción
de usuario y contraseña, dicha información será recogida por la autoridad de registro y
confirma por la autoridad de verificación.
82
Identificación y autentificación de usuario
Como se comento anteriormente el servidor de claves envía una copia del registro de
usuarios al cada uno de los servidores. Pero el servidor de acceso encargado de
controlar el acceso al sistema tiene que cubrir no solo la entrada al sistema por tarjetas
inteligentes sino también la entrada manual que representa los equipos de teletrabajo y
los equipos no fijos.
Datos personales
Acceso Manual
PK Identificador 1,0 1
Nombre
Usuario Apellidos
Contraseña Profesión
MAC FK2 Nivel de Seguridad
Status
*...0
Claves
PK Identificador
Clave pública
Clave privada
Fecha emisión
Fecha caducidad
CRL
(39) Registro de usuarios en el servidor de acceso
Por lo tanto en el registro de usuarios del sistema deberá de contemplar la creación

de una tabla nueva llamada Acceso Manual. En dicha tabla relacionada con la tabla
de datos personales, se introducirá el usuario, contraseña y la identificación MAC de
la máquina de teletrabajo o no fija. Cada vez que el servidor de acceso reciba una
petición, la autoridad de verificación mira en las tablas, si no se encuentra negará el
acceso al sistema y notificará de la incidencia al servidor de monitorización. En caso
contrario notificará al equipo de trabajo que puede entrar en el sistema, también se
pondrá en contacto con los demás servidores para que puedan utilizar los servicios
disponibles para su nivel de seguridad. Y por último avisará al servidor de
monitorización sobre la entrada al sistema de un nuevo usuario.
Cuando un usuario se encuentre en la situación de no poder acceder al sistema,

deberá de ponerse en contacto con el equipo de seguridad mediante teléfono. El
equipo de seguridad debería de solucionar el problema de acceso de forma remota
tal y como se muestra en el apartado anterior.
83
Sistema de gestión de contraseñas
El sistema de gestión de contraseñas se encuentra ubicado en el servidor de acceso zona

roja. La autoridad de validación es un programa gestor que se encarga no solo de las
solicitudes de entrada al sistema sino también de las altas y bajas de usuarios que
puedan producirse en el sistema. Cuando un usuario se dé de alta en el sistema, el
equipo de trabajo actualizará el registro de usuarios que tiene en el servidor de claves.
El servidor de claves asignará un par de claves al nuevo usuario. El equipo de trabajo
dará al usuario su tarjeta de acceso con su primer par de claves generada por el servidor
de claves. A continuación el servidor enviará una query con la modificación del
registro a los demás servidores del sistema mediante comunicación segura.
Cuando se produzca una expiración de las claves del usuario para el acceso al sistema.
El servidor de claves mandará una orden al servidor de certificación para que cree un
certificado personal para el nuevo usuario y lo envíe a la dirección IP asignada. En el
equipo de trabajo del nuevo usuario, el gestor de registro actualizará la tarjeta asignada.
En caso de ser un usuario que no posea tarjeta inteligente y tenga un acceso mediante
usuario y contraseña. El equipo de seguridad actualizará el registro del servidor de
acceso e introducirá el usuario, contraseña y la dirección MAC de la máquina. Dicho
usuario y contraseña no tienen periodo de validez y se consideran fuera del ciclo de vida
de las claves.
Cuando se produzca un error de certificación, la autoridad de registro avisará a la

autoridad de verificación sobre dicha incidencia. La autoridad de verificación
actualizará el campo CRL en la tabla de claves, con lo que dejará invalidada el uso de
dichas claves.
Las bajas en el sistema no deben de significar el borrado de los datos del usuario del
sistema. Dicha información puede ser valiosa para el estudio de posibles ataques
externos. Sin embargo se ha de asegurar que los privilegios del usuario quedan
cancelados. Para ello se implanta un campo especial en la tabla de datos personales
llamado status. Status nos indicará la relación laborar que tiene el usuario con el
sistema. Si el status está desactivado, indica que el usuario está de baja en el sistema.
Con lo cual al recibir cualquier petición de entrada en el sistema por dicho usuario será
denegada por la autoridad de validación.
84
Uso de los recursos del sistema
El uso de los recursos debe de estar controlado mediante restricciones de acceso

instalados en cada puesto de trabajo. Las restricciones de acceso a recursos deben de
distinguir entre los distintos procesamientos en el sistema de información. Dichos
procesamientos según el plan de seguridad en sistemas son los siguientes:
Transaccionales, Operacionales, Ofimáticos y Estratégicos.
En los procesamientos transaccionales intervienen todo todos los departamentos de una

organización. Son aquellos en los que entra y sale información al sistema. En dichos
procesamientos se utilizan recursos que interviene en la comunicación con el exterior.
Dichas herramientas pueden ser soportes externos (véase plan de seguridad en
comunicaciones) o software de mensajería, servicio ftp, web…etc. Los soportes
externos deben de estar siempre numerados y clasificados en un registro electrónico
según al departamento al que pertenezca. Ningún empleado podrá utilizar soportes
externos que no estén debidamente clasificados en dicho registro. En cada departamento
debe de haber una persona encargada de dicho registro. El software de mensajería,
servicio ftp y web, estará instalado en modo cliente en los puestos de trabajo que
precisen de dichos servicios. Y en modo servicio en los servidores internos de la
organización. Ningún empleado deberá de poder tener permisos para instalar software
en su puesto de trabajo a no ser que el comité de cambio considere necesario para la
realización de su trabajo.
Los procesamientos operacionales son aquellos que intervienen de forma directa en el

producto. Dicho procedimientos están relacionados con un equipo de desarrollo, los
cuales tienen normalmente mayores privilegios de usuario que los empleados
encargados en labores de gestión. Sus puestos de trabajo suelen ser PCs potentes con
gran capacidad y con software que requiere una gran cantidad de procesamiento. El
equipo de desarrollo necesitara tener acceso a programas y servidores especializados
para su trabajo. Además de poseer privilegios para instalar y desinstalar programas
debido a la necesidad de cambio en su trabajo.
Los procesamientos ofimáticos son aquellos de soporte para la desarrollo. Normalmente

son procesamientos de gestión que no necesitan más software que software de gestión
con poca capacidad de procesamiento. El equipo de gestión debería de trabajar en
equipos Thin Client con accesos directo a un servidor de programas.
Los procesamientos estratégicos son aquellos encargados de la estrategia corporativa y

toma de decisiones. Correspondientes a cargos ejecutivos utilizan puestos de trabajo
móviles, como ordenadores portátiles y software dedicado. Los requisitos mínimos para
estos puestos de trabajo son la necesidad de tener un sistema de identificación
biométrico y una partición de disco encriptada.
85
Desconexión automática de sesión
Todo usuario después de terminar su jornada laboral deberá de cerrar la sesión de su

puesto de trabajo. Los periodos de inactividad prolongados deben de traducirse como un
descuido por parte del usuario por lo que cada equipo deberá de apagarse desconectarse
del sistema transcurrido un periodo máximo de inactividad.
¿Solicitud de salida
del sistema? si
no no
¿puesto de trabajo Salida del

inactivo más de 5 Sistema
min?
Inicio si
si
Puesto de ¿puesto de trabajo

trabajo inactivo más de 1
bloqueado hora?
no
(40) Control de Salida del sistema
Como se puede observar en el esquema de arriba (40), el gestor de entrada que cada
equipo de trabajo tendrá un temporizador de inactividad incorporado. Dicho
temporizador se activará si no encuentra actividad en los dispositivos de entrada del
puesto de trabajo (teclado, ratón, unidad de tarjetas…etc.). Una vez pasado 5 minutos el
sistema se bloqueará con la actividad de un protector de pantalla que solo podrá ser
desactivado con la introducción de la tarjeta inteligente o mediante usuario y
contraseña.
Limitación del tiempo de conexión
Si el tiempo que lleve bloqueado el ordenador supera la hora de inactividad el sistema

procederá al cierre del puesto de trabajo (40). Mandará una orden al sistema operativo
para que proceda al cierre de todas las aplicaciones y guardado de todos los ficheros
abiertos. También se avisará al servidor de acceso para indicar que el usuario se
encuentra fuera del sistema.
86
7.7 Control de acceso a las aplicaciones y a la información
Restricción del acceso a la información
La localización de los distintos ficheros se encuentra en los servidores dedicados para

ese motivo. Un usuario al activar su sesión manda una señal al servidor de acceso sobre
cuál es su nivel de seguridad según los registros de usuario. El servidor de acceso
manda a su vez una señal a los distintos servidores de datos para indicar el usuario que
está conectado y su nivel de seguridad. Con esta información los servidores de datos
sabrán que información debe ser mostrada.
Cada usuario podrá acceder mediante acceso ftp a los distintos ficheros que necesite
para su trabajo. Se considera que cada usuario podrá trabajar online con los ficheros que
necesite si accede desde un puesto de trabajo Thin Client. La creación, modificación y
cancelación de ficheros deberá de ser online siempre que la tecnología y los costes lo
permitan. No se recomienda que el usuario tenga la capacidad de descargas los ficheros
a su puesto de trabajo a menos que se bloquen los puntos de salida de la estación de
trabajo: puertos USB, grabadora de CD/DVD, servicio de correo y web externos…etc.
Sin embargo esta medida puede ser flexible para aquellos departamentos que necesiten
una gran capacidad de potencia para la elaboración de su trabajo. No obstante todo
acceso, creación, modificación y cancelación de ficheros deberá de quedar registrado en
los servidores de datos y enviado al servidor de monitorización. Para ello pueden
utilizar un registro para ficheros donde se indique: identificador, fecha de creación,
nivel de seguridad, último acceso (identificador usuario), fecha de modificación. Para
garantizar el rendimiento del sistema se pueden crear ambas copias del registro en los
servidores de monitorización y sistemas, que sean actualizados mediante queries.
Fichero
Privilegios
PK,FK2 Identificador Fichero
PK,FK1 Nivel de Seguridad
PK Clase Fichero * 1
Fecha de creación
FK3 Identificador
Acceso Clase de Fichero
Modificación Tipo de Fichero
Cancelación Contenido original
FK1 Clase Fichero
* * 1
1
1 *
Datos personales Registro
PK,FK2 Identificador PK Identificador Fichero

1
Nombre
* Identificación
Apellidos Fecha modificación
Profesión Contenido modificado
Status FK1 Identificador
Nivel de Seguridad
(41) Registro Ficheros
87
Aislamiento de sistemas sensibles
En este sistema se consideran como elementos sensibles todo aquellos que accedan a la
información corporativa. Es decir, puestos de trabajo y servidores y hardware de
control. En cada puesto de trabajo fijo debe de haber un sistema de tarjetas inteligentes.
No se puede contemplar un puesto de trabajo fijo sin este sistema si se desea implantar
el perímetro descrito en este plan. La zona de servidores debe de estar aislado física y
lógicamente de los puestos de trabajo. En las zonas donde se encuentre servidores
corporativos solo podrá haber un puesto de control para el acceso solo para el personal
de seguridad. Ningún usuario deberá de tener acceso, a los servidores para la
modificación de la configuración de la misma. Todos los servidores deben de tener una
cuenta de administrador invisible al usuario normal del sistema. El usuario solo podrá
realizar consultas y gestionar ficheros corporativos. El hardware de control entre los
que se encuentran firewalls, sistemas IDS/IPS y puestos de monitorización deberán de
estar aislados de la misma forma que los servidores y con sistemas de identificación
fuerte: como contraseñas biométricas, contraseña en el sistema BIOS, tarjeta
inteligente…etc.
88
7.8 Ordenadores portátiles y teletrabajo
Ordenadores portátiles y comunicaciones móviles
ESTACIÓN SISTEMA
BIOMÉTRICO
EXTERNA
VPN
INTERNET
ROUTER
FIREWALL
VPN
FIREWALL SYSTEM
(42) Comunicación externa
Los sistemas de comunicaciones móviles deberán de incluir medidas de protección

especial para poder acceder al sistema debido a que escapan del control perimétrico
físico de la corporación. Todo ordenador portátil deberá de incluir un sistema
biométrico de protección mediante huella digital. La información que se maneje en
dicho portátil deberá de incluir una partición cifrada para el manejo de información
corporativa. Deberá incluir además un sistema de detección GPS y un paquete de
seguridad integrado (security suite). Los demás dispositivos móviles deberán de
incorporar estas sugerencias si quieren acceder al sistema.
Teletrabajo
Los puestos de trabajo que se encuentren fuera del perímetro de seguridad físico de la
empresa deberán incorporar software para la conexión segura con el sistema de
información. Se propone la utilización de una VPN SSL para pequeños grupos de
trabajo y VPN MPLS para grandes grupos de trabajo siguiendo las recomendaciones del
plan de seguridad en comunicaciones. Cada usuario deberá de incorporar un cliente
VPN en su estación de trabajo externa. Desde el perímetro de seguridad habrá un
servidor VPN en comunicación con el firewall central en la zona azul. En el servidor de
trabajo deberá de haber una copia del registro de usuarios del servidor de acceso de la
zona roja. Es obligación de cada usuario el mantener la confidencialidad de la
comunicación. Los ficheros podrán ser accedidos desde puestos de teletrabajo pero no
se debe permitir que salgan del sistema baja ningún motivo. En los sistemas VPN
MPLS será la compañía proveedora de servicios de Internet la que facilite las rutas de
acceso que serán instaladas en los routers corporativos por lo que no habrá la necesidad
de crear un servidor VPN.
89
Plan de Seguridad Interna Javier Ruiz-Canela López
8 PLAN DE SEGURIDAD INTERNA

Propósito
Todo sistema organizativo está compuesto por una serie de recursos, los cuales deben de
ser contabilizados y gestionados. Los recursos son un control más a tener en cuenta en
el diseño de la arquitectura de seguridad. No tener un control exhaustivo de los mismos,
implicaría graves vulnerabilidades para el sistema. Este plan propone procedimientos
para inventariar y clasificar los recursos según sus vulnerabilidades de seguridad.
También quiere asignar las responsabilidades que tiene cada individuo de la
organización apoyándose en la jerarquía organizativa del plan de seguridad para
personal. Por último se quiere exponer el trato que se tiene a terceros, ya sea
proveedores y clientes en términos de seguridad.
Alcance

Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con los
capítulos 6 y 7. A continuación una lista se muestra los controles tratados en este plan:
6 Aspectos Organizativos de la Seguridad de la Información

6.1 Organización Interna
6.1.1 Compromiso de la Dirección con la seguridad de la información
6.1.2 Coordinación de la seguridad de la información
6.1.3 Asignación de responsabilidades relativas a la seguridad de la información
6.1.4 Proceso de autorización de recursos para el procesamiento de la información
6.1.5 Acuerdo de confidencialidad
6.1.6 Contacto con las autoridades
6.1.7 Contacto con los grupos de especial interés
6.2 Terceros
6.2.1 Identificación de los riesgos derivados de terceros
6.2.2 Tratamiento de la seguridad en la relación con los clientes
6.2.3 Tratamiento de la seguridad en contacto con terceros
7 Gestión de Activos
7.1 Responsabilidad sobre los activos
7.1.1 Inventario de los activos
7.1.2 Propiedad de los activos
7.1.3 Uso aceptable de los activos
7.2 Clasificación de la información
7.2.1 Directrices de la clasificación
7.2.2 Etiquetado y manipulación de la información
90
8.2 Organización Interna

Compromiso de la Dirección con la seguridad de la información
La máxima autoridad que debe de controlar la arquitectura de seguridad es la dirección

de la organización. Entre las distintas tareas que debe acometer la dirección (véase plan
de seguridad para personal) se encuentra la de aprobar el plan de gestión para la
seguridad de la información. En dicho documento dará el poder necesario al jefe de
seguridad para poder llevar a cabo las infraestructuras lógicas y físicas que sean
necesarias para la instalación, mantenimiento y mejora de los controles de seguridad
descritos en el plan de gestión.
Una vez realizado el plan de gestión, deberá de velar por el cumplimiento del mismo.
Aplicando un código disciplinario (véase plan de seguridad para personal) en base a las
pruebas que se le otorguen desde el departamento de seguridad de la empresa. Dicho
departamento se creará para velar por la seguridad no solo del sistema de seguridad de
la información, sino también para todo el sistema de seguridad en general.
La dirección será el último órgano de decisión en cuanto a seguridad dentro de la

organización, siendo su presidente el dueño de todos los privilegios del sistema de
seguridad de la información. Cada vez que se realice un cambio en el sistema de
seguridad de la información, se tendrá que crear un comité para dicho cambio. Donde
esté representada una autoridad de la dirección, el jefe de sistemas, el jefe de personal y
el jefe de seguridad de la organización como mínimo.
Coordinación de la seguridad de la información
Es labor del gerente o director operativo el coordinar los cambios de seguridad entre
departamentos que se lleve en la empresa. La labor de cambio corresponderá a personal
de seguridad de la organización, donde deberán de realizar los cambios sin interferir la
labor de trabajo siempre y cuando esto sea posible.
El director operativo avisará mediante una circular a todos los jefes de departamento
sobre los cambios que se realicen en la estructura de seguridad de la información y los
pasos a seguir una vez realizado los cambios por el equipo de seguridad de la
organización. El equipo de seguridad será el encargado de realizar los cambios sobre la
infraestructura hardware y software y de dar las instrucciones que sean necesarias al
equipo que vaya a trabajar bajo la dicha infraestructura.
La estructura de claves seguirá el patrón establecido por el plan de seguridad en

sistemas. Cada vez que un usuario tenga que renovar sus datos de seguridad deberá de
ponerse en contacto con el equipo de seguridad a través de correo electrónico firmado
digitalmente.
91
Asignación de responsabilidades relativas a la seguridad de la

información
Siguiendo con la estructura establecida en el plan de seguridad para personal, las

responsabilidades de seguridad se repartirán según la estructura organizativa dada:
Comité de dirección, Director Operativo, Jefe de departamento, Personal, Responsable
de seguridad. Las funciones de cada uno se han explicado en el plan de personal y las
responsabilidades del comité de dirección y director operativo se han detallado en los
apartados anteriores. En este apartado se detallará la responsabilidad de los demás roles
intervinientes en el sistema de información.
El jefe de departamento cuya función es la de aplicar a nivel departamental las medidas

de seguridad expuestas por el director operativo y con la ayuda del equipo de seguridad
de la información. Es el encargado del control de las comunicaciones del departamento,
ningún empleado podrá ponerse en contacto con otro departamento sino es bajo la
supervisión de su jefe de departamento. También es el encargado de la correcta
utilización de los recursos según los términos de seguridad de la empresa. Cada vez que
un jefe de departamento sorprenda a un subordinado utilizando un recurso sin las
medidas de seguridad adecuadas este debe reprenderle. Si observa comportamiento
grave por parte de personal según el código disciplinario (véase plan de seguridad para
personal) este debe de avisar al departamento de seguridad. El departamento de
seguridad será el encargado de recabar información para la imputación del usuario mal
intencionado.
El responsable de seguridad encargado de velar por el correcto funcionamiento del

sistema de seguridad. Entre sus labores está la de monitorizar y mejorar el sistema de
seguridad. También como se expone anteriormente su labor será la de recabar
información para hacer cumplir el código disciplinario aplicado por el comité de
dirección. El margen de maniobra del responsable de seguridad debe de ser amplio por
lo que solo responderá de sus acciones ante el comité ejecutivo de la organización. Debe
también aislar y reparar los ataques provenientes del interior y del exterior de la
organización. Así como llevar a cabo mejoras urgente si encuentra una vulnerabilidad
grave en el sistema de información o seguir el procedimiento de cambio descrito en el
plan de seguridad en sistemas.
El personal siendo el núcleo del sistema productivo adquiere una gran responsabilidad y
un gran peligro para el sistema de información. Es obligación del departamento de
seguridad y del sus superiores vigilar la actividad de sus subordinados para garantizar la
seguridad del sistema. El personal debe de cumplir con la política de seguridad de la
organización. No debe de relevar información confidencial de la empresa a ninguna
persona ajena a la organización. Debe de denunciar a su superior cualquier actividad
delictiva que haya podido observar. Además de tomar las medidas de seguridad
descritas en el plan de seguridad en datos.
92
Proceso de autorización de recursos para el procesamiento de la

información
Registro
de recurso
Petición de Registro de
recurso unidad de
departamental recurso
si si
Solicitud de ¿Es un recurso ¿Petición local Fin

no
Recurso departamental? concedida?
Inicio
no
¿Es un recurso Petición de recurso

empresarial? interdepartamental
Gestión de
no
cambio
(43) Petición de recurso
La gestión de recursos es una tarea que revierte gran importancia tal y como se verá en
los apartados de responsabilidad sobre los activos. Cada vez que se produzca una
solicitud de recurso este debe de quedar registrado e indicar la naturaleza y duración de
la misma. El usuario que solicite un recurso deberá de pedir una solicitud formal de
recurso, en el cual deberá indicar la naturaleza del mismo, el propósito para el cual se va
a utilizar, la posibilidad de utilizarlo fuera de las instalaciones de la empresa y sus datos
empresariales (datos personales más nivel de seguridad y puesto).
Si el recurso es de naturaleza departamental la concesión de la misma recaerá sobre el

jefe departamental. Si el recurso es de carácter extra departamental se presentan dos
tipos de situación, que no esté el discurso disponible o que sea de naturaleza
interdepartamental. Si el recurso no está disponible deberá de solicitar una petición
cambio. Si el recurso es de naturaleza interdepartamental será el director operativo el
encargado de la concesión del recurso.
El proceso de concesión deberá de estudiar la disponibilidad e idoneidad de la misma.

Si la concesión es positiva debe de quedar registrada en el inventario de activos de la
empresa. Donde se indicará identificador de unidad, destinatario, naturaleza, duración y
responsable de concesión. La no devolución de un recurso en el plazo dado es motivo de
sanción por parte del destinatario recogida en el código disciplinario (véase plan de
seguridad para personal).
93
Acuerdo de confidencialidad
Todo acuerdo de confidencialidad ya sea por parte del empleado o por parte de terceros
debe de cumplir con una serie de parámetros obligatorios. Los parámetros son los
siguientes:
o Cada acuerdo debe de incluir un identificador inequívoco.
o Se debe de indicar la fecha y lugar en la cual se realiza el documento.
o Debe de incluir los datos empresariales de la organización. Entendiendo por

datos empresarial: NIF, domicilio de sede central, representante de la empresa
(personal de RRHH o personal de ventas según naturaleza del acuerdo) y DNI
del representante. También debe de incluir los datos empresariales si se trata de
un acuerdo con cliente o proveedor o los datos personales si se trata de un
empleado.
o En el contrato se debe de exponer la naturaleza del mismo. Si se trata de un

acuerdo confidencial asociado a un acuerdo comercial con un cliente o
proveedor, a un acuerdo de cooperación de un socio o a un acuerdo laboral con
un empleado. Este último debe de incluir las cláusulas de la política de
seguridad de la empresa.
o En las clausulas del contrato es conveniente destacar sea cual sea su naturaleza:
la finalidad del mismo, a que se comprometen ambas partes, la duración de la
misma y los derechos y deberes de ambas partes.
o El derecho de propiedad es un punto que debe de ser clarificado. En él se debe

de indicar los recursos a utilizar en dicho acuerdo, los recursos que generará
dicho acuerdo y la propiedad de los mismos. De modo opcional se puede incluir
una clausula de contingencia a modo de seguro para los recursos.
o La modificación o cancelación del contrato debe de incluir una serie de

responsabilidades asociadas a cada una de las partes, la cual debe de ser
desambiguada. Si se cancela por mutuo acuerdo y se utilizan recursos
compartidos debe de indicarse la propiedad de los mismos. Si la cancelación es
por incumplimiento de contrato debe de indicarse las disposiciones legales a las
cuales la empresa emisora del contrato tiene derecho. Si se trata de una
modificación se debe de indicar del identificador del contrato a modificar.
o Si así lo precisa se debe de hacer referencia a las disposiciones legales que así
sea necesario según el propósito y alcance del documento.
o El documento debe de incluir la firma de los representantes por ambas partes en

cada uno de las hojas del documento. Así como el nombre de los mismos al final
del documento. Si así se considera preciso se debe incluir el sello empresarial de
ambos firmantes o de uno de los firmantes.
94
Contacto con las autoridades
Las relaciones con las autoridades deben de ser un tema importante en las relaciones de
la organización. Se debe de tener el máximo rigor y diligencia. Se va a centrar en el
ámbito español y en el ámbito europeo en este punto. Haciendo un breve resumen de la
relación con las agencias estatales y locales españolas.
Durante la actividad comercial hay que mantener relación con una serie de oficinas
oficiales para distintas tareas cotidianas, como por ejemplo: registrar una marca o
tratamiento de ficheros.
La oficina Española de Patentes y Marcas (OEPM) es una institución oficial donde la

organización deberá registrar una marca, patente o nombre comercial (no se confunda
con la denominación social registrada en el Registro Mercantil Central). Como se hace
referencia en el plan de seguridad de datos la organización deberá de ir a dicha oficina
para registrar sus productos según dictamina la ley [LDM01].
La agencia Española de Protección de Datos (AEPD) es un organismo oficial para

controlar el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter
Personal (LOPD) [LOPD99]. En dicha agencia las organizaciones privadas registradas
en el registro mercantil español deberán de registrar los ficheros de carácter personal
recogidas por la ley (véase plan de seguridad en datos). El proceso de inscripción sería
el siguiente:
o Hay que indicar que operación se quiere realizar. Puede ser un alta, una
modificación o una supresión de fichero. En caso de modificaciones y
supresiones se deberá indicar el Código de Inscripción que se asignó al fichero
en el momento de su alta en el RGPD así como el CIF/NIF con el que fue
inscrito. En caso de modificación se solicitan los apartados que se desea
modificar y el Nombre o Razón Social del responsable.
o En caso de alta, si la notificación se refiere a un tratamiento de datos sobre
miembros de comunidades de propietarios, clientes propios, libro de recetario,
(clientes de farmacias), nóminas-recursos humanos (empleados) o pacientes, y la
finalidad es la gestión propia de estos colectivos, puede marcar el cuadro TIPO y
seleccionar el modelo que corresponda (se rellenan determinados apartados con
valores apropiados) o bien seleccionar NORMAL para partir de un formulario
totalmente vacío.
o Hay dos formas de entregar el fichero como formulario electrónico o en papel.

El formulario electrónico no requiere una instalación previa en su equipo por lo
que puede ser cumplimentado desde la página web de la AEPD. También puede
optar por guardarlo en su equipo y cumplimentarlo desde el propio PDF. En
ambos casos, la notificación se enviará cifrada a través de un canal seguro
mediante protocolo SSL y con firma electrónica. Para lo cual deberá remitir a la
Agencia la Hoja de solicitud correspondiente al envío realizado debidamente
firmada. El formulario en papel debe ser entregado de forma presencial en la
agencia de protección de datos.
95
Contacto con los grupos de especial interés
La organización está formada por un conjunto de componentes en la cual ninguno puede

ser usado como medio. Dichos componentes son llamados stakeholders [Gonz00] y están
formados por: el comité directivo, los propietarios, los trabajadores, clientes y
proveedores. La corporación también debe de ser consciente que sus actuaciones deben
de dirigirse a los beneficios de los stakeholders (principio de legitimidad corporativa).
El comité directivo según los autores N.E. Bowie* y R.F. Duska* son los representantes
de la empresa por dos motivos. El primer motivo es que son en los que recae la
responsabilidad de dirigir y el segundo motivo es que los resultados de su labor pueden
ser extrapolables. La labor de los directos es de gran importancia pues son ellos los que
marcan la estrategia comercial para hacer competitiva a la organización.
Los propietarios son los que tienen un interés financiero sobre la organización que se
traduce en forma de acciones. El comité directivo les debe una serie de obligaciones
para con ellos. La obligación de obediencia dice que los directivos deben de tener unas
funciones bien claras acordes con el contrato entre el directivo y la organización. La
obligación de confidencialidad por el cual el comité directivo debe de evitar cualquier
conflicto entre los stakeholders y dejar bien marcados los derechos de autor entre
empleado y organización. La obligación de lealtad por el cual el comité directivo se
compromete a ser fiel a sus accionistas y no cometer conflicto de interés.
Los trabajadores tal y como se comenta en el plan de seguridad para personal tienen una
serie de derechos recogidos por la ley [RDET95] los cuales deben de ser cumplidos. A
parte, los trabajadores también deben de poseer una serie de derechos. Entre dichos
derechos se encuentra el derecho a la libertad, todo trabajador debe de ser libre de poder
elegir su trabaja bajo unas condiciones laborales dignas y con posibilidad de rescindir el
contrato. El trabajador también tiene derecho a tener un salario justo que se adecue a la
producción de su trabajo y sea superior a los mínimos exigidos por la ley [RDET95] y
por las asociaciones de gremios. La privacidad es otro de los derechos recogidos como
fundamental, el trabajador tiene derecho a tener privacidad en su vida íntima y fuera del
trabajo. Al igual que se recoge una serie de derechos los trabajadores también tiene una
serie de obligaciones con la organización. El trabajador debe de realizar su labor con la
máxima profesionalidad posible y las máximas cuotas de calidad. El trabajador debe de
ser fiel a la organización no revelando información comprometida (esto se puede
conseguir con un contrato de confidencialidad). Y por último el trabajador debe de tener
un carácter positivo hacia su trabajo intentando mejorar la organización en la medida de
sus posibilidades.
R.F. Duska* Director de la Mitchell Center for Ethical Leadership y profesor de ética en The American College
N.E. Bowie es un profesor de gestión estratégica y filosofía en la universidad de Minnesota en Minneapolis, Minnesota.
96
La organización debe de tener una serie de obligaciones con sus clientes. Se considera
cliente cualquier persona u institución que consume los productos o servicios de la
organización. La organización debe de tratar a los clientes de forma correcta y sincera.
Nunca debe de caer en la tentación de engañar o de decir medias verdades sobre sus
productos o servicios pues eso solo afectará negativamente a la credibilidad de la
organización. El cliente tiene derecho a un servicio de calidad, dicho servicio debe de
cumplir con las expectativas del cliente y sus requisitos tanto implícitos como
explícitos. Del mismo modo, el cliente tiene derecho a ser escuchado y a elegir. Muchos
proyectos fracasan por no cumplir con las expectativas del cliente, el no escuchar al
cliente suele provocar un producto no deseado por el cliente (efecto frecuente entre las
empresas tecnológicas españolas).
La relación con los proveedores tiene la necesidad de tener una buena relación mutua
para el éxito de ambas corporaciones. No obstante dicha relación dependerá del número
de proveedor y de la disponibilidad de la materia prima entre otros factores. Ante una
situación con pocos proveedores, la relación esta en clara desventaja para la
organización. Lo mismo ocurre en una situación inversa, donde la calidad de las
materias primas se puede resentir. Por lo que es necesario buscar esa situación de
equilibrio.
97
8.3 Terceros
Identificación de los riesgos derivados de terceros
Amenaza de
nuevos
competidores
Poder de Poder de
negociación de Rivalidad entre los negociación
los proveedores competidores existentes de los
clientes
Amenaza de
productos y
servicios
sustitutivos
(44) Las 5 fuerzas de Porter
El análisis de las cinco fuerzas del economista Michael Porter [Porter00] es un modelo
que describe de forma veraz el tipo de competencia que puede tener cualquier empresa
en el sistema económico capitalista. Las industrias de hoy en día no están exentas de
este tipo de peligros aunque los métodos competitivos se hayan vuelto más sofisticados.
Más concretamente está en auge los ataques de índole informático para apoyar estas
fuerzas hostiles. Se analizará como estas cinco fuerzas afectan al sistema informático
corporativo.
La primera amenaza son los nuevos competidores, en un mercado tan dinámico como el
tecnológico y gracias a las nuevas tecnologías de la información. Cada vez resultará más
fácil copiar nuevos productos y servicios. Por eso es muy importante clasificar la
información que se hace pública a través del servicio Web que se disponga. Hay que
seguir las directrices de la OWASP en diseño web y siempre validar las consultas desde
servidor y no cliente.
Los proveedores tienen un gran poder sobre todo si son pocos y controlan los recursos.
En el mundo tecnológico por ejemplo hay un gran monopolio en el mundo de los
sistemas operativos debido a la gran influencia de los productos Microsoft. A la hora de
diseñar la arquitectura informática corporativa habría que realizar un juicio de valor
para determinar hasta qué punto son necesarios por los productos Microsoft; y si estos
pueden ser sustituidos por otros productos de software libre que garanticen la misma
calidad en los productos.
98
Los compradores son una parte esencial para el éxito de cualquier corporación pues son
hacia ellos para los cuales se trabaja. Los servicios online están cobrando fuerza en el
mercado actual, esto ofrece a los comprados una libertad que antes no tenían. No
obstante los servicios online no son seguros y fiables a un 100%. Ahí radica la
diferencia, en el mercado tecnológico español no se apuesta por productos de calidad
sino por productos económicos para combatir la enorme competitividad que ahí. No
obstante, es una estrategia errónea. Los productos informáticos de baja calidad producen
animadversión entre los clientes hacia las nuevas tecnologías. Lo que dificultaría en
gran medida vender productos nuevos. Una apuesta por productos de calidad y
profesionales cualificados haría sin duda alguna aumentar la confianza entre los
clientes.
Los productos informáticos son tan volátiles como la memoria RAM. En un mercado
donde surgen nuevas tecnologías cada día y hasta la persona menos inteligente puede
producir software alternativo. Ante esta amenaza de software de baja calidad hay que
ofrecer productos orientados a servicios SOA, donde no solo se ofrece un producto sino
también un mantenimiento del mismo serio, de calidad y adaptativo a las nuevas
necesidades del cliente.
Tratamiento de la seguridad en la relación con los clientes
La relación con los clientes implica el tratamiento de ciertas medidas de seguridad para
no comprometer el sistema de seguridad de la empresa. El cliente tiene derecho a tener
productos de calidad y una atención personalizada. Pero no tiene porque conocer los
sistemas de producción a no ser que vayan incluidos en el producto. Por ello a parte de
seguir los consejos descritos en el plan de seguridad de sistemas para la comunicación
con terceros. Hay que asegurarse que el producto que le entregamos al cliente no
compromete el sistema productivo de la organización. Para ello y tratándose de
producto software, no hay que facilitarle de ningún modo el código fuente de los
programas.
Para conseguir este objetivo se tienen que desarrollar los productos desde estaciones de
trabajo propias aunque el servicio se haga en cliente. Si se trabaja desde servidor, hay
que asegurarse que solo se puede acceder por personal de la organización. Por último
hay que entregar ejecutables una vez desarrollado el producto software.
El cliente tampoco deberá conocer los procedimientos internos de la organización. Por

lo que a la hora de realizar informes en la elaboración de un proyecto, se distinguirá
entre dos tipos, internos y externos. Los informes internos son aquellos que contienen
información de gestión para la dirección del proyecto: incluyendo avances técnicos,
pruebas al sistema, problemática surgida en cada fase…etc. Los informes externos son
aquellos que contienen información para el cliente, es decir productos o información
sobre productos. En dichos informes no se debe relevar detalles técnicos o de
procedimientos internos. Sin embargo, si se podrá informar sobre la marcha de los
proyectos dirigidos al cliente sin entrar en detalle.
99
Tratamiento de la seguridad en contacto con terceros
El contacto con personal ajeno a la organización deberá de cumplir con una serie de
normas básicas.
1. Cualquier personal ajeno a la organización debe de estar identificado.
Esto significa que se debe de registrar el contacto con terceras personas para los
procedimientos de negocio* de la organización en un registro de visitas. Dicho registro
de visitas puede ser digital o físico, en el cual se incluirá nombre de la persona
contactada, nombre del personal interno con el que se contacta, fecha y motivo de
contacto.
El personal ajeno a la organización deberá de llevar identificación física con tarjeta de

visitas y nivel de seguridad C2 (Véase plan de seguridad en datos). Dicha identificación
deberá de incluir nombre del visitante y fecha de visita. Así como las recomendaciones
descritas en el plan de seguridad en medio ambiente y seguridad física.
2. El personal ajeno a la organización no debe acceder a las zonas de trabajo
En las instalaciones de la organización se debe habilitar una zona especial de reuniones

para clientes y terceras personal. Ninguna persona ajena debe de poder entrar en las
zonas de desarrollo y mucho menos en las zonas donde se encuentren activos con un
alto nivel de vulnerabilidad.
3. El personal ajeno a la organización no debe de tener acceso al sistema de

información corporativa
El sistema de información corporativa es un circuito cerrado para la labor del personal

de la organización. Cualquier persona que desee conocer información pública de la
organización debe de adquirirla desde puntos de acceso lógicos o físicos separados
física y lógicamente del sistema de información corporativa. Para ello se recomienda la
utilización de una página web pública para terceros, donde este toda la información
pública de la organización. La ubicación de los recursos de dicha página debe de estar
en un servidor aislado de los demás.
4. Las transacciones deben de ser seguras y no comprometer la estructura de

información
Toda comunicación con terceros debe llevar unas pautas de comportamiento. La

comunicación será por carta certificada o mediante correo electrónico. En dicha
comunicación se prohíbe dar información protegida por la organización u material
necesario para conseguir dicha información. Las comunicaciones deben de ser
registradas en el servidor de monitorización de la empresa (véase plan de seguridad en
control de acceso).
Por procedimientos de negocio* se entiende aquellas tareas que estén relacionadas con la actividad empresarial ya sean de gestión,
de compra, venta o desarrollo de productos…etc
100
8.4 Responsabilidad sobre los activos

Inventario de los activos
Para la creación de un inventario de activos se recomienda la utilización de alguna

herramienta software para su creación. Dicho inventario puede estar en formato de hoja
de cálculo pues es el más indicado por su comodidad y rapidez. El inventario de los
activos debe de recoger todos los activos de la empresa ya sean fijos o variables. El
inventario debe de tener la siguiente estructura:
o Identificador inequívoco
Dicho identificador debe de ser único para cada activo de la empresa. Para ello se
recomienda la utilización del código de barras del producto. O en su defecto de un
sistema de clasificación que incluya el tipo y la fecha de adquisición.
o Nombre del activo
El nombre debe de hacer referencia a la utilidad de dicho activo. Es recomendado pero

no necesario utilizar nombres únicos. El nombre debe de ser breve y evitar la utilización
de caracteres especiales.
o Descripción breve del activo
Una descripción breve donde se identifiquen las cualidades físicas y de uso del activo.
Ayudará a una mejor clasificación y buen uso del mismo.
o Fecha de incorporación y nombre del fabricante
Donde se indicará cuando se compro dicho producto y el fabricante del mismo.
o Nivel de seguridad
Los activos juegan un papel muy importante en la estructura informática de la empresa.

Según el impacto que pueden provocar un ataque sobre dicho activo sobre el sistema se
le debe de dar un nivel de seguridad asociado similar al nivel de seguridad de los
ficheros (véase plan de seguridad en datos).
o Valor económico y de inversión
Donde se indicará el valor del mismo y el valor de inversión según el ROI. También se
puede incluir la vida útil del activo en años o meses.
o Propiedad
Cada activo de la empresa tiene una persona o departamento que lo usa, la cual debe de
ser identificada y registrada (véase plan de seguridad en control de acceso). En su
defecto debe de indicarse que se encuentra inactiva o en almacén.
101
Propiedad de los activos
Los activos de trabajo deben de pertenecer a la organización. Se debe evitar el uso de

activos particulares o activos de socios para el sistema de información corporativo. Por
la sencilla razón de que no se podrá garantizar la seguridad de la información, al no
garantizar la aplicación de medidas de seguridad en activos ajenos a la organización.
Uso aceptable de los activos
Se debe utilizar los activos de forma razonable según sea su finalidad. Se debe de velar
por un uso cuidadoso de los mismos para poder alargar la vida de los activos lo máximo
posible. En el esquema de abajo se muestra una forma de clasificación basado en
contabilidad clásica para los activos (45), que ayudará a entender su uso.
Activo diferido Activo Activo circulante
PK Tipo PK Identificador PK Tipo
Descripción Nombre Descripción

Nivel de Seguridad FK1,FK2,FK3 Tipo Nivel de Seguridad
Gastos Propietario Número de cuenta
Valor
Activo fijo
PK Tipo
Descripción
Nivel de Seguridad
ROI
Garantía
Fabricante
(45) Tipos de activos
o Activo circulante: Bienes y derechos que tienen cierta rotación o movimiento

constante y de fácil conversión en dinero en efectivo. Caja, bancos, mercancías,
clientes, documentos por cobrar, deudores diversos.
o Activo fijo o activo no circulante: Bienes y derechos que tienen cierta

permanencia o fijeza, adquiridos con el propósito de usarlos y no de venderlos.
Terrenos. edificios, mobiliario y equipo, equipo de computo, equipo de reparto,
depósitos en garantía, acciones y valores.
o Activo diferido: Gastos pagados por anticipado por los que se espera recibir un
servicio aprovechable posteriormente. Gastos de instalación, papelería y útiles,
propaganda y publicidad, primas de seguros, rentas pagadas por anticipado,
intereses pagados por anticipado.
102
8.5 Clasificación de la información

Directrices de la clasificación
Las directrices de clasificación de seguridad están recogidas en el plan de seguridad

para datos. No obstante, se desea recordar que la clasificación se debe de regir por
parámetros de confidencialidad, disponibilidad, integridad o trazabilidad (número de
enlaces al documento).
Clasificación del Documento Confidencialidad Disponibilidad Trazabilidad Integridad

Bajo, Medio-Bajo Baja Alta Alta Media
Medio, Medio-Alto Media Alta Media Alta
Alto, Extremo Alta Baja Baja Alta
(46) Directrices de clasificación
Etiquetado y manipulación de la información
El etiquetado de la información debe de responder a unas directrices que los distinguen

de los demás. Este etiquetado debe de incluir los siguientes campos: su nivel de
seguridad, tipo de información, finalidad de dicha información y fecha de creación.
Ejemplo de clasificación:
A+-ESTRATÉGICA-NUEVOPRODUCTO-08/08/09
Fecha de
creación
Finalidad de
la información
Tipo de
información
Nivel de
Seguridad
La manipulación de la información debe ser tratada siempre desde el sistema de

información corporativa. Y siguiendo las medidas de seguridad descritas por el plan de
seguridad en datos.
103
Plan de seguridad para personal Javier Ruiz-Canela López
9 PLAN DE SEGURIDAD PARA PERSONAL

Propósito
El propósito de este plan es crear una guía de buenas prácticas para la seguridad
relacionada con el personal de una organización. Para ello se tiene que definir los
requisitos de contratación para el personal, los informes de confidencialidad de la
organización, los derechos y obligaciones que adquiere el personal y los términos
sección de trabajo para garantizar la seguridad de la organización.
Alcance
El alcance de dicho plan se aplica todo el personal de la empresa ya sea fijo o temporal.
Las subcontrataciones no están recogidas en este plan, quedando determinadas las
relaciones con terceros en el plan de seguridad en sistemas.
Objetivos
8. Seguridad ligada a los recursos humanos

8.1. Antes del empleo
8.1.1. Funciones y responsabilidades
8.1.2. Investigación de antecedentes
8.1.3. Términos y condiciones de contratación
8.2. Durante el empleo
8.2.1. Responsabilidad de la dirección
8.2.2. Concienciación, formación y capacitación de seguridad de la información
8.2.3. Proceso disciplinario
8.3. Cese del empleo o cambio de puesto de trabajo
8.3.1. Responsabilidad del cese o cambio
8.3.2. Devolución de los activos
8.3.3. Retirada de los derechos de acceso
104
9.2 Antes del empleo

Funciones y responsabilidades
El modelo de una organización más eficaz es el que integra todo los detalles de su
sistema de producción. Para ello es necesario definir una jerarquía organizativa que
defina los roles de cada uno de los integrantes de la organización. En dicha jerarquía
debe de quedar especificado de las responsabilidades y funciones de cada uno de sus
integrantes. El sistema organizativo que se muestra a continuación quiere mostrar de
forma genérica los roles que intervienen en cualquier organización dándole una serie de
cualidades conforme a la ley [LPRL96] (FRPE09) y a las cualidades de seguridad [Muno209]
que se deben de contemplar para el personal en cualquier sistema de información. A
continuación se muestran los roles y sus respectivas responsabilidades en seguridad:
Delegado de Comité de Responsable de

Prevención Dirección Seguridad
(B2,B1) (A1,A2,A+) (A1)
Director Operativo
(A2)
Jefe de
Departamenteo
(B1)
Personal
(B2,C1,C2)
(47) Jerarquía organizativa

o Comité de Dirección
- Garantizar la seguridad y la salud de los trabajadores a su cargo.

- Establecer las políticas de la empresa, incluyendo la política de seguridad.
- Asignación de personal y recursos humanos para conseguir desarrollar los
proyectos y demás actividades de la organización.
- Establecer la estructura organizativa necesaria incluyendo el rol del o de los
agentes preventivo para la prevención de riesgos laborales si fuera necesario (A
partir de 50 empleados) y el/los encargado/s de seguridad de la empresa.
- Velar por el cumplimiento de las funciones asignadas en la estructura
organizativa.
- Consultar a los trabajadores en la adopción de decisiones que puedan afectar a la
seguridad, la salud y las condiciones de trabajo.
- Realizar auditorías internas y revisiones periódicas de la política preventiva y de
seguridad.
- Aplicar sanciones a todo el personal que incumpla las políticas de seguridad y de
prevención de la empresa.
- Nivel de seguridad: A2, A1, A+ (Director General)
105
o Director Operativo
- Hacer cumplir los objetivos predefinidos en las políticas de la organización a

todo el personal a su cargo, promoviendo procedimientos de prevención y
seguridad.
- Impulsar, coordinar y controlar las actuaciones preventivas y medidas de
seguridad que deben adaptar incorporando un plan de adaptación por plazos.
- Apoyo a los mandos intermedios en su funcionalidad y asegurarse de su
formación en prevención y seguridad.
- Cooperar con las distintas unidades funcionales para el cumplimiento de las
políticas de la organización.
- Cooperar con el responsable de seguridad de la organización y delegado de
prevención.
- Nivel de seguridad: A2
o Jefe de departamento
- Participar en la elaboración de los procedimientos de prevención y seguridad en

los departamentos que estén asignados.
- Informar a los trabajadores sobre los riesgos laborales y de seguridad existentes
en el trabajo y tomar medidas preventivas.
- Investigar posibles vulnerabilidades y ataques de seguridad e informar al
encargado de seguridad y al director operativo.
- Garantizar la calidad y la seguridad en el trabajo del departamento.
prevención.
- Nivel de Seguridad: B1
o Personal
- Velar por su propia seguridad y salud y por la de los demás.

- Velar por la seguridad de la información en la empresa.
- Usar adecuadamente las máquinas, aparatos, herramientas o cualquier medio
para desarrollar su actividad.
- Usar correctamente los mecanismos de seguridad de la organización.
- No perjudicar a la seguridad de la organización.
- Informar a su superior de todo incumplimiento de las políticas de seguridad de la
empresa.
prevención.
- Nivel de Seguridad: C1,C2,B2
106
o Delegado de prevención
- Colaborar con la dirección de la empresa en la elaboración de la política de

prevención de riesgos laborales.
- Promover y fomentar la cooperación de los trabajadores en el cumplimiento de
la política de prevención de riesgos laborales.
- Ejercer una labor de vigilancia del cumplimiento de las normas laborales en el
desarrollo de las actividades de la empresa y de la LPRL (Ley de protección de
riesgos laborales).
- Promover mejoras de las medidas de prevención.
- Cooperar con el responsable de seguridad de la organización.
- Coordinar las actividades del inspector de trabajo con la organización.
- Responder de sus acciones ante el comité de dirección de la empresa.
- Nivel de seguridad:B2,B1
o Encargado de Seguridad
- Colaborar con la dirección de la empresa en la elaboración de la política de

seguridad.
- Promover y fomentar la cooperación de los trabajadores en el cumplimiento de
la política de seguridad.
- Ejercer una labor de vigilancia y monitorización del cumplimiento de los
controles de seguridad de la política de seguridad, de la LOPD (Ley Orgánica de
Protección de Datos de carácter personal), la LPI (Ley de propiedad intelectual),
y de la norma ISO 27000.
- Tomar medidas necesarias para garantizar la seguridad de la organización.
- Promover mejoras de las medidas de seguridad.
- Coordinar las actividades de seguridad con la administración y organismo
internacionales de seguridad.
- Realizar auditorías internas de seguridad cada dos meses y promover auditorías
externas, por alguna organización externa con el cumplimiento de las normas de
AENOR (Asociación Española de Normalización y Regulación).
- Responder de sus acciones ante el comité de dirección de la empresa.
- Nivel de Seguridad: A1
Investigación de antecedentes
Una investigación de antecedentes aporta información útil para determinar el perfil de

empleado que estamos buscando y para ver si es digno de confianza. En esta
investigación tiene como objetivo confirmar la identidad del individuo, su dirección de
residencia, sus estudios, sus propiedades, antecedentes laborares. Además deberá incluir
una completa investigación de los antecedentes civiles y penales del individuo, que haya
podido cometer en territorio nacional u extranjero. La investigación también puede
incluir si el individuo tiene intereses financieros fraudulentos contra la organización o si
está en situación de asfixia economía. Para poder realizar dicha investigación se
recomienda informarse a través de organismos policiales o de administración pública.
No se descarta la utilización de investigadores privados para realizar dicha tarea.
107
Términos y condiciones de contratación
La contratación de personal requiere establecer unas cláusulas legales y administrativas

para asegurar los sistemas de seguridad de la información. En dichas clausulas debe de
incluir la duración, tipo de relación laboral (fijo o temporal), y los términos legales,
éticos y de seguridad que debe de cumplir el contratado. En este proceso se recomienda
que se cumplan una serie de pasos como mínimo:
o La organización se compromete a velar por la seguridad y bienestar del

empleado.
La organización debe de ofrecer al empleado garantías para que pueda realizar de forma
confortable su trabajo. El contrato debe incluir clausulas de prevención de riesgos
laborales, dar de alta al empleado en la seguridad social, medidas de garanticen la
promoción por el trabajo bien realizado, garantizar el sueldo mínimo interprofesional y
subidas de sueldo acordes con el IPC (Índice de Precios al Consumo).
o Indicar que las responsabilidades que adquiere para su puesto de trabajo, así
como las duración y sueldo.
La contratación debe de incluir los motivos por el cual se contrata al personal, cuál será
sus responsabilidades en la empresa y su nivel de seguridad. También debe de incluir la
relación laboral del contrato ya sea fijo o temporal. También debe de incluir la cuantía
de su sueldo bruto y neto (descontando impuestos y seguridad social).
o Las acciones que se tomarán en caso de que el empleado haga caso omiso a los
requisitos de seguridad.
El empleado se compromete a cumplir fielmente la política de seguridad de la empresa.

Cualquier incumplimiento de las normas de la política de seguridad lleva consigo una
serie de sanciones. Siendo la sanción más grave el despido procedente del empleado si
se incumple la política de seguridad en sus condiciones más graves.
o Aclaración de las responsabilidades y los derechos legales de los empleados.
Los derechos del trabajador quedarán garantizados por escrito en el contrato de acuerdo
al estatuto de los trabajadores [RDET95] la LPRL [LPRL96] y la LGSS [LGSS00].
o Las responsabilidades relacionadas con la clasificación y la gestión de datos.
El empleado deberá de cumplir con la jerarquía de seguridad de ficheros enunciada en el

plan de seguridad de datos. Así como conocer y cumplir la LOPD (Ley de Protección de
Datos de carácter personal)
o La abstención de cometer cualquier acción delictiva o anti-ética.
Cualquier delito cometido por el empleado tendrá consecuencias legales por parte de la
empresa. El empleado también se comprometerá a cumplir el código ético de la
empresa.
108
9.3 Durante el empleo

Responsabilidad de la dirección
Cuando hablamos de responsabilidad de la dirección para con sus empleados, estamos

hablando de una parte de la responsabilidad social corporativa [OrteM409]. La
responsabilidad social corporativa se puede definir como un conjunto de reglas éticas
que se impone la propia institución de forma voluntaria. Para responder antes las
inquietudes morales que tiene para con sus empleados (responsabilidad interna) y para
con sus clientes y proveedores (responsabilidad externa). En este apartado trataremos la
responsabilidad interna que tiene la empresa para con sus empleados, enumerando una
seria de reglas éticas que la empresa debe cumplir con la relación con sus empleados.
Toda organización que se preste a incorporar unas reglas de comportamiento ético

interno deben de tener en cuenta las siguientes consideraciones:
o Evitar condiciones de contratación injustas
Se considera conducta aberrante la discriminación de una persona por motivos de sexo,

raza, religión o condición sexual para acceder a un puesto de trabajo. Se recomienda
reservar entre un 5% y 10% puesto de trabajo para personas con discapacidad psíquica
y/o físicas. La temporalidad se considera una situación de excepcionalidad donde se
probará la buena disposición del empleado para acceder al puesto de trabajo de forma
fija. Dicho periodo temporal no debe de exceder de un 1 año de duración.
o Avanzar en la igualdad entre hombres y mujeres
La organización se debe de comprometer para crear unas condiciones laborales en

igualdad para ambos sexos. Para ello debe de evitar la descriminalización de sueldos y
ventajas laborales en beneficio de un sexo. Debe de fomentar la descriminalización
positiva para que la mujer se pueda incorporar a puestos de responsabilidad en la
empresa hasta alcanzar una situación de igualdad, con las mismas posibilidades que los
hombres. Cuando una mujer deba de ausentarse de su puesto de trabajo por motivos de
embarazo debe de verse como una responsabilidad social y no como una deficiencia
competitiva. Se debe de garantizar un periodo de reposo de al menos un mes y la
incorporación inmediata al puesto de trabajo una vez concluido ese periodo.
o Atraer y retener a los mejores profesionales
A todo empleado se le tiene que reconocer sus meritos profesional a través de

promociones en la jerarquía organizativa o aumentos de prestaciones labores y/o
salariales. También se debe de garantizar la participación activa del personal en la toma
de decisiones que competan a sus condiciones laborales.
109
Concienciación, formación y capacitación de seguridad de la

información
En todo sistema de seguridad de la información el factor humano es clave para el éxito

de la misma. Inculcar una serie de normas de buen comportamiento en seguridad y
concienciar de las mismas, evitará muchos de las posibles vulnerabilidades que se
puedan producir en el sistema. Para ello se tiene que plantear una serie de cursillos de
formación en seguridad orientados al personal. En dichos cursillos se tiene que exponer
al personal los puntos fundamentales de la política de seguridad de la empresa y las
medidas a adoptar para llevarlos a cabo.
La formación de personal en seguridad debe de incluir los siguientes puntos:
o Reglas y medidas de seguridad para cumplir con la LOPD
Todo el personal debe de conocer y entender la jerarquía de ficheros de la empresa

(véase plan de seguridad en datos). También deben de conocer y entender las medidas
que deben de aplicarse para cada fichero según su nivel de seguridad.
o Reglas y medidas de seguridad de seguridad en acceso
Todo el personal debe de conocer y entender la jerarquía de privilegios de la empresa

(véase plan de seguridad en datos). Así como las herramientas y la infraestructura de
claves de la corporación (véase plan de seguridad en control de acceso).
o Reglas y medidas de seguridad en sistemas
Todo el personal debe de conocer y entender los procedimientos de seguridad basados

en sistemas (véase plan de seguridad en sistemas). Especialmente el personal de
desarrollo el cual debe de tener claro la división entre plataformas de desarrollo, soporte
y pruebas.
o Reglas y medidas de fallo de sistema seguridad y de prevención de riesgos

laborales
Todo el personal debe de conocer y entender los procedimientos a seguir en caso de que
se produzca un fallo en el sistema de seguridad y saber contactar con el personal
encargado de la seguridad. Del mismo modo debe de conocer y entender las medidas de
prevención de riesgos laborales contemplados por la política de la organización.
110
Proceso disciplinario
Las medidas disciplinarias se deben aplicar según un código de infracciones basada en

el plan de seguridad de la empresa. Toda medida disciplinaria debe de ser proporcional
al daño que se produzca en la infraestructura de seguridad de la empresa. Para ello se
propone los siguientes sistemas de niveles de infracción y las medidas a adoptar en cada
caso:
o Infracción leve
Se considera infracción leve como aquella que produce por la incorrecta aplicación de
las medidas de seguridad de la empresa teniendo conocimiento de las mismas. Ejemplos
de la misma pueden ser los siguientes: Dejar una clave privada personal al descubierto
por otras personal , no cerrar la sección de seguridad después de la jornada laboral ,
dejar copias de archivos de desarrollo en el puesto personal en caso de haber un
almacén externo para las mismas…etc.
La medida a adoptar en dichos casos son notas informativas desde la dirección o equipo
de seguridad advirtiéndole de la necesidad de aplicar de forma correcta las medidas de
seguridad. La repetición reiterada de infracciones leves se convierte en una infracción
moderada.
o Infracción moderada
Se considera infracción moderada aquella que produce la no aplicación de las medidas

de seguridad la empresa teniendo conocimiento de las mismas. Unos ejemplos de las
mismas pueden ser las siguientes: Enviar información confidencial desde un canal no
seguro, no adoptar las medidas pertinentes a los ficheros según su nivel de seguridad, no
respetar las medidas de protección laboral…etc.
Las medidas a adoptar en dichos casos van desde sanciones económicas hasta ceses
temporales de la actividad laboral. La repetición reiterada de infracciones moderadas se
convierte en una infracción grave.
o Infracción grave
Se considera infracción grave aquella que produce la violación explicita de las medidas
de seguridad la empresa teniendo conocimiento de las mismas. Unos ejemplos de las
mismas pueden ser las siguientes: Daño a los sistemas de la organización, Traspaso o
robo de información clasificada de la empresa*, Acceder a ficheros de nivel superior de
seguridad…etc. La medida a adoptar en estos casos es el despido inmediato del personal
implicado.
Información clasificada de la empresa*: ficheros, claves, procedimientos…etc.
111
9.4 Cese del empleo o cambio de puesto de trabajo

Responsabilidad del cese o cambio
Cuando la relación laboral entre un empleado y la organización se extingue o cambia, se

deben de tomar una serie de medidas para garantizar la seguridad de los sistemas de
información de la empresa.
En caso de cese se pueden dar tres casos, cese procedente por infracción grave de las
políticas de la empresa. En cuyo caso la organización no tendrá ninguna obligación de
contraprestación para con el empleado. Cese procedente por finalización de contrato,
dado en los casos de contrato laboral temporal donde la empresa solicita durante un
periodo de tiempo unos servicios concretos sin necesidad de contraprestaciones. O por
deseo expreso del empleado en abandonar la organización. Cese improcedente por
motivos de reajuste de personal, en este caso la organización debe de dar una
contraprestación correspondiente a los años trabajados en la misma, según los términos
del estatuto de los trabajadores [RDET95].
En los casos de cambio de puesto de trabajo, hay que reajustar al empleado al nuevo
nivel de seguridad que posea, así como darles los accesos necesarios para que pueda
ejercer su nuevo cargo concorde a su nueva responsabilidad. En los casos que se trate de
una degradación en el puesto el empleado se debe de comprometer en devolver todos
los activos y derechos de acceso que no le correspondan en los términos explicados a
continuación.
Devolución de los activos
Se entiende por devolución de activos, el retorno en las condiciones aceptables de los

materiales físicos y digitales, los ficheros y herramientas que el empleado haya utilizado
o generado durante su periodo laboral con la organización. Toda información que
genere el empleado para la organización es propiedad de la organización y debe de
quedar constancia de ello en el contrato laboral del empleado. La devolución en mal
estado o parcial de los activos mencionados anteriormente acarreará medidas legales
contra la/s persona/s con obligación de devolución de los activos de la empresa. Se
recomienda dar un plazo máximo de dos días para la devolución de los activos. Toda
devolución que se produzca debe de quedar registrada en el registro especial de activos
de la empresa (véase plan de seguridad interna). En dicho registro constará la fecha de
devolución y la firma de una persona encargada de verificar el proceso de devolución.
112
Retirada de los derechos de acceso
La retirada no efectiva de los derechos de acceso de un empleado es el principal

causante de los ataques internos en toda organización. Dichos ataques se traducen en
robo de información, sabotaje de los sistemas de información o colapso de los mismos.
Con más motivo si el cese de debe por motivos de infracción grave o despido
improcedente. Por ello se debe de concienciar de la enorme importancia de la misma y
que sea supervisada por el jefe del departamento de recursos humanos. La retirada de
derechos se debe de traducir de forma digital con el borrado en la base de datos de
empleados de la persona afecta. Y de forma física con la retirada de la acreditaciones
empresariales. Si el usuario a tenido acceso a claves o contraseñas comunes en la
empresa se debe de considerar la idoneidad de cambiarlas si ello implicará una
vulnerabilidad en el sistema de información.
El empleado cesado deberá de firmar las condiciones de despido que procedan. Donde
se recomienda que se incluyan el apartado de cese de empleo o cambio de puesto de
trabajo. Dichas condiciones y la firma serán registradas junto con la firma en un
histórico de ex empleados accesible solo para personal de recursos humanos y la
dirección.
El cese de los derechos no implica el cese de las obligaciones para con la empresa. El
empleado cesado deberá de comprometerse en cumplir el contrato de confidencialidad
firmado con la organización. Donde se compromete a no revelar información vital para
la organización*. Romper este contrato de confidencialidad acarreará las medidas
legales que la organización estime pertinentes.
Información vital para la organización* A definir por la misma según se dé el caso.
113
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
10 PLAN DE SEGURIDAD EN MEDIO AMBIENTE

Y SEGURIDAD FÍSICA

Propósito
Todo perímetro de seguridad tiene dos componentes igualmente importantes, una lógica
y otra física. El acceso físico a máquinas que manipulan o controlan información
corporativa puede ser causa de ataque. Pensar en la correcta distribución física de los
activos de la empresa puede llevar a evitar dichos ataques. Para ello, está previsto seguir
como referencia para ello los capítulos 11 de la ISO 27002 guía de buena práctica de
controladores recomendados para la seguridad. A lo largo de este plan se explicará
cómo se debe de desarrollar un perímetro de seguridad físico para la protección del
sistema de información de la empresa. Dicho perímetro incorpora un sistema de video
vigilancia, protección contra amenazas ambientales y seguridad en equipos.
Alcance

Objetivos
9. Seguridad física y ambiental

9.1. Áreas seguras
9.1.1. Perímetro de seguridad física
9.1.2. Controles físicos de entrada
9.1.3. Seguridad de oficinas, despachos e instalaciones
9.1.4. Protección contra las amenazas externas y de origen ambiental
9.1.5. Trabajo en áreas seguras
9.1.6. Áreas de acceso público y de carga y descarga
9.2. Seguridad de los equipos
9.2.1. Emplazamiento y protección de equipos
9.2.2. Instalaciones de Suministros
9.2.3. Seguridad del cableado
9.2.4. Mantenimiento de los equipos
9.2.5. Seguridad de los equipos fuera de las instalaciones
9.2.6. Reutilización o retirada seguridad de equipos
9.2.7. Retirada de materiales propiedad de las empresa
114
y seguridad Física
10.2. Áreas seguras

Perímetro de seguridad física
El desarrollo de perímetro de seguridad físico debe de considerar las necesidades de

negocio de cualquier corporación. Para ello debe de tomar como partida la distribución
del sistema de perímetro de seguridad lógico que es la que cubre las necesidades
computacionales de las necesidades de negocio del sistema. También se tiene que tener
en cuenta la distribución de un área de trabajo en el cual se vaya a desarrollar el
perímetro [Pago04]. Y las medidas de prevención de riesgos laborales recogidas por la
legislación española [LPRL96]. Resultado de todo este proceso se ofrece un esquema de
un perímetro de seguridad físico para una instalación de unas oficinas estándar.
(48) Perímetro de seguridad físico
El modelo expuesto tiene en consideración siete zonas dedicadas: zona de despachos,

zona de puestos de trabajo, pasillos, vestíbulo, zona de reuniones, zona de servidores y
zona de monitorización de seguridad. Los elementos destacables de este modelo son
que introduce la necesidad de separar los recursos de red de los puestos de trabajo, la
necesidad de crear una zona de seguridad dedicada, sistema de control biométrico o
mediante tarjeta inteligente, sistema de video vigilancia y sistemas de prevención de
riesgos laborales.
115
y seguridad Física
Controles físicos de entrada
El objetivo de los controles físicos del perímetro de seguridad es poder identificar de

forma de inequívoca al personal de la organización y evitar fugas de información física.
Para conseguir el primero de los propósitos se propone la utilización de un sistema de
cierre mediante teclado para los accesos a zonas de trabajos. Para el segundo propósito
se propone un sistema de scanner corporal con detector de metales en la entrada
principal del recinto.
o Control principal
El acceso físico al recinto principal de toda corporación debe de controlar que el

individuo que desee entrar está autorizado. La utilización de tarjetas de identificación
evita el problema de entradas no deseadas al recinto de seguridad. Dichas tarjetas de
identificación pueden ser de dos tipos. Tarjetas para visitantes y tarjetas para personal
de la empresa. Las tarjetas para visitantes deben de ser reconocidas fácilmente, para ello
se propone la utilización de un juego de colores para las tarjetas. Cada tarjeta deberá
llevar una banda de color, la cual debe de variar según unos criterios fijados por la
dirección: día de la semana, tipo de recinto visitado, tipo de visitante…etc. Dichas
tarjetas también debe incluir el nombre del portador, fecha de caducidad y fecha de
emisión y una fotografía (opcional). Las tarjetas para personal serán parecidas a las
tarjetas de visitas pero con cambios significativos. La fotografía será obligatoria y
además se debe de indicar el nivel de seguridad claramente. Todas las tarjetas para
personal incluirán un chip inteligente en vez del sistema de identificación por colores.
Dicho chip inteligente identifica de forma digital a su portador. La información del chip
será información personal del individuo más un certificado personal dado por la
infraestructura de clave pública (véase plan de seguridad en comunicaciones).
Otro de los objetivos del control principal es asegurarse de que el individuo que entra
no portar elementos físicos peligrosos para comprometer la seguridad de la empresa.
Para ello se aconseja la utilización de cabinas de seguridad o la utilización de detector
de metales y scanner de metales.
Además se debe de controlar que ninguna persona que salga del recinto de trabajo salga
con dispositivos físicos de almacenamiento. Para ello se propone desinmantadores
manuales para el personal de seguridad. Los desinmantadores son dispositivos que
anulan la capacidad magnética de los equipos de almacenamiento electrónico.
En la entrada de la organización debe de haber una persona de seguridad como mínimo

que realice dichas tareas. Y controla la entrada y salida de personal y mercancías a la
entrada del recinto de seguridad.
116
y seguridad Física
o Teclado de acceso
Cada zona de trabajo tiene en la entrada un dispositivo de entrada mediante teclado, el

cual dependiendo de la seguridad necesaria lleva incorporado un mecanismo lector de
tarjetas inteligente o un mecanismo lector de de datos biométricos. Este doble sistema
de apertura de puertas garantiza la apertura manual en caso de fallo en el sistema de
identificación.
La identificación biométrica e identificación por tarjeta inteligente siguen los mismos

patrones de comportamiento. Cuando un usuario intenta acceder a una zona, introduce
su tarjeta inteligente o escanea su huella táctil en el dispositivo biométrico. La
información es mandada al servidor de identificación de la empresa, el cual accederá al
registro general de usuarios de la organización. Si el proceso de identificación es
correcto, el servidor de acceso mandará una orden al dispositivo de seguridad para que
proceda a su apertura. En caso contrario el usuario no podrá acceder al recinto, y el
dispositivo de seguridad se lo notificará mediante un sistema de LED o mediante
pantalla.
Tarjeta Inteligente T
/Biometría Datos de Identificación Usuario Query
USUARIO Datos Manuales Permiso/Denegación Respuesta
Servidor Registro
de de Usuarios
INTERFAZ FÍSICO
Acceso
Identificación
Identificación
positiva
negativa
Apertura de Denegación
puerta de acceso
(49) Control de puertas
El proceso de identificación se observa patrones diferentes según sea una identificación

biométrica o una identificación mediante tarjeta inteligente. La utilización de tarjetas
inteligente implica la incorporación de un certificado personal en un chip. Cuando el
usuario introduzca la tarjeta en el dispositivo de entrada dicho dispositivo a través de un
programa llamado autoridad de registro envía la clave pública del usuario a la autoridad
de validación instalada en el servidor de acceso. En el servidor de acceso hay instalado
un directorio de claves (LPAD) donde buscará la clave pública del usuario. Si el par
usuario-clave es correcto y no esta caducada dejará entra al usuario.
117
y seguridad Física
La identificación biométrica está reservada para el acceso a zonas con activos

especialmente sensibles como son servidores, firewalls, routers, puestos de
monitorización…etc. Dicha identificación requiere de la instalación de un software
especial para la identificación de patrones biométricos o matching [MoRu00]. Para poder
utilizar este proceso debemos de realizar tener en cuenta dos módulos diferentes. El
módulo inscripción donde se asociará los datos personales del individuo a sus
características biométricas. Y el módulo de identificación donde se contrastará los datos
biométricos del usuario con los datos biométricos introducidos por el usuario.
Lector Extracción de Creación

biométrico características de 3 copias
Asociación con
¿Tasa de
no si Datos
Error<0.1?
INTERFAZ EXTERNO Personales
MODULO DE INSCRIPCIÓN Registro
de Usuarios
Lector Extracción de
Comparación =
biométrico características
RESULTADO
INTERFAZ EXTERNO MODULO DE IDENTIFICACIÓN
(50) Identificación biométrica
En el modulo de inscripción el usuario deberá de scanner tres veces una copia de su

huella táctil. El programa de identificación de patrones comparará las distintas copias
que se hayan realizado y dado un error de identificación (dicho calculo se da con la
comparación de las funciones FRR y FAR) de menos de un 10% aceptará la copia como
buena. Después esa información se asociará con los datos personales del individuo que
ya existen en el registro de usuarios en el servidor de acceso.
En el modulo de identificación el usuario deberá realizar un scanner de su huella táctil.

El dispositivo de seguridad sacará las características específicas de la misma forma que
el anterior módulo. Después serán enviadas al servidor de control de acceso, donde
mediante un algoritmo de comparación mediante la transformada de Hough* y una tasa
de error prefijada comparará los datos biométricos introducidos con los datos
biométricos almacenados. Si encuentra una pareja de características iguales dará una
identificación positiva, de alguna otra forma dará una identificación negativa.
Transformada de Hough* es una técnica de extracción propiedades geométricas mediante análisis de imágenes
118
y seguridad Física
Seguridad de oficinas, despachos e instalaciones
El personal de la organización debe de poder realizar su trabajo con las máximas

garantías de seguridad posible. Para ello se propone una serie de medidas:
o Ventilación y alarmas
Las zonas de trabajo deben ser cumplir con una serie de características para garantizar el
confort y la seguridad del personal. Garantizar el bienestar es una inversión de futuro
pues aumenta el rendimiento del personal y garantiza la disminución de fugas de trabajo
y trabajadores. Para ello hay que asegurarse que los puestos de trabajo dispongan de
iluminación natural. La iluminación natural es una de las características que más
valoran los equipos de trabajo. Es disponer de ventanas o ventanales en los puestos de
trabajo es una parte importante en el desarrollo de trabajo. Por supuesto dichas ventanas
o ventanales deberán de estar herméticamente cerradas para evitar posibles puntos de
vulnerabilidad en el perímetro de seguridad físico. La necesidad de conductos de
ventilación también es otro de los puntos que garantizar la seguridad en la instalación.
Los conductos de ventilación son necesarios para la evitar humos u otro tipo de
sustancias contaminantes en el perímetro de seguridad. También se puede utilizar para
regular la calidad del aire otro de los factores importantes en el entorno de desarrollo.
Deben tener un diámetro mínimo de 0’8 m (3”) y un máximo de 1’2 m (3”).
Los sistemas de alarmas evitan posibles accidentes y daños al personal e instalaciones

de la organización. Todas las zonas donde se encuentren equipos informáticos deben de
estar equipados con sensores contra incendios y elementos nocivos. En cuanto se
detecte un foco de incendio dichos dispositivos deben de activar causando una alarma
sonora. Inmediatamente después se debe de indicar por megáfono los pasos a seguir
para abandonar el edificio según la política de evacuación de la empresa (incluido en la
política de prevención de riesgos laborales).
En las zonas donde se encuentren los servidores, routers y demás componentes del
sistema de información corporativo se deben de incluir sensores de temperatura, polvo,
calidad del aire y electricidad. Los sensores de temperatura indicarán la temperatura
ambiente del lugar. Los sensores de polvo deben de comprobar que no hay más de 500
miligramos de polvo por metro cúbico. Los sensores de aire deben de comprobar que no
haya agentes contaminantes en el aire. Y por último, los sensores de electricidad para
evitar averías en los servidores por electricidad electroestática.
Todas las alarmas estarán conectadas con el departamento de seguridad de la

organización. Desde el puesto de control se controlará la calidad del aire para evitar
posibles tóxicos. La temperatura ambiente y la humedad para evitar los posibles
incendios. Además de otros dispositivos de vigilancia que se explicarán a continuación.
119
y seguridad Física
o Sistema de video vigilancia
El control de las acciones del personal es uno de los objetivos de seguridad que se
tienen que tener en cuenta. Los sistemas de video vigilancia proporcionan un control de
las actividades del personal de la organización evitando de este modo posibles ataques
internos del personal y controlando la seguridad de las zonas restringidas. Sin embargo
el sistema de video vigilancia o CCTV que se propone en este plan respeta la legislación
española en cuanto a video vigilancia [Inst06]. Para llegar a cumplir con la ley hay que
incluir en la política de video vigilancia una serie de derechos y restricción:
o Toda las zonas donde se encuentre una cámara de seguridad deberán de

incorporan avisos informativos en letreros visibles y legibles. En dichos avisos
se le informará al usuario de que está siendo grabado con forme a la política de
la organización.
o Toda persona deberá de tener acceso mediante impresos sobres las condiciones
en las cuales puede y no puede ser grabado en las zonas de organización.
o Se prohíbe la utilización de cámaras en zonas públicas y servicios.
o Los ficheros digitales que se graben no podrán ser almacenados por un máximo
de 48 horas. A no ser que se encuentren indicios de delito, los cuales serán
fijados por el departamento jurídico de la organización.
También la política de video vigilancia debe de incluir una serie de obligaciones para el
personal en general y para el personal de seguridad:
o Todo empleado deberá de abstenerse de manipular las cámaras. Ya sea

girándolas de su posición original, colocando obstáculos u otro tipo de
impedimentos que obstruyan la misión de video vigilancia.
o El personal de seguridad deberá de asegurarse del perfecto funcionamiento de

los componentes de video vigilancia. Asegurando de la correcta colocación de
las cámaras, la seguridad en el revestimiento de los cables, los dispositivos de
control de imagen y monitorización.
o Todos los ficheros digitales de videos serán guardados en un servidor especifico

para video vigilancia el cual solo tendrán acceso el personal de seguridad.
Dichos ficheros serán borrados del registro tal y como se menciona
anteriormente.
o El personal de la corporación y visitas no deberán portar indumentaria que

dificulte su reconocimiento facial. El personal de seguridad dispondrá de un
registro fotográfico de todo el personal de la organización.
120
y seguridad Física
Una vez definido los puntos fundamentales de los prerrequisitos para el sistema de
video vigilancia se pasaría al diseño del sistema en sí [Cox07] el cual deberá de disponer
de cámaras IP, un PTZ, un DVR, cables coaxiales, un servidor y un puesto de control.
Los sistemas CCTV actuales utilizan cámaras digitales con dispositivos para la
implantación de una red IP local con posibilidad de un acceso remoto a internet. Dichas
cámaras tienen las mismas características que las cámaras analógicas, pero con las
ventajas de tener un coste inferior y una calidad de imagen superior. Dichas cámaras
digitales estarán controladas a través de la red con software específico instalado en un
servidor dedicado. Habrá dos tipos de cámaras: cámaras fijas para pasillos y cámaras de
180º para zonas de trabajo común y entradas al perímetro y zonas donde no se pueda
cubrir la FOV con cámaras fijas.
Los cables coaxiales RGS9 se caracterizan por su enorme fiabilidad. Teniendo una
atenuación 0.58Db, una calidad imagen par de hasta 80Db y una calidad de recogida de
imagen digital de 6.0. Los cables estarán conectados a las salidas RS-485 de las cámaras
y se comunicarán directamente con el dispositivo PTZ.
Un PTZ es el acrónimo en inglés de enfocar (Pan), Inclinar (Tilt) y zoom que

representan las características especificas de las cámaras de vigilancia en movimiento.
Un PTZ controller controla la actividad de las cámaras donde se puede especificar los
movimientos y enfoques y realizar seguimiento de cambios sospechosos en el campo de
visión FOV.
Una grabadora de video digital (DVR) es un dispositivo que graba video en formato
digital a una unidad de disco. En este caso los videos se grabarán a un servidor de
cámaras de IP.
El puesto de control será un monitor con capacidad de ver cámaras a la vez que recibirá
información en tiempo real de las grabaciones de las cámaras a través del servidor IP.
También podrá controlar el movimiento y enfoque de las cámaras.
PTZ
controller
T DRV
RGS9
Coaxial
Puesto de
Servidor de control
T Cámaras IP
Cámaras IP
(51) Sistema de video vigilancia
121
y seguridad Física
Protección contra las amenazas externas y de origen ambiental
Los desastres naturales son otro factor de riesgo a tener en cuenta en el desarrollo del
perímetro de seguridad físico. Este factor suele tener repercusiones seria sobre los
dispositivos del sistema de información de la organización. Agua, fuego y electricidad
suelen ser los tres elementos que más pueden influir en los equipos eléctricos. Una fuga
de agua puede provocar cortocircuitos en los equipos eléctricos dejando plenamente
inservibles. Un incendio puede arrasar con todo el mobiliario y especialmente con los
equipos de los sistemas de información al estar formados en su mayoría por plásticos
altamente inflamables. Las subidas de corriente pueden provocar incendios en los
equipos informáticos estas suelen estar provocadas por la mala utilización del sistema
eléctrico de la empresa. Pero a su vez no se puede dejar de depender del sistema
eléctrico porque sino las máquinas no funcionarían. Esto nos lleva también a una
dependencia eléctrica generalizada y a la necesidad de utilizar mecanismos para
garantizar el flujo constante de electricidad para los equipos electrónicos.
o Sistema de prevención de incendios
Como se menciono anteriormente en todas las zonas del perímetro de seguridad llevarán
incorporadas alarmas contra incendios. Pero el uso de alarmas contra incendios son
sistemas pasivos que deben ir acompañados de sistemas activos. Los sistemas activos
que se pueden utilizar para la prevención de incendios son: sistemas de ventilación,
sistemas de riego, extintores contra incendios, aislamiento de zonas.
Los sistemas de riego son comúnmente utilizados en todas las instalaciones de oficinas.
Un sistema de riego consiste en una serie de aspersores colocados en el techo de las
oficinas. Donde están conectados a sensores térmicos capturan la temperatura ambiente
del lugar. Si la temperatura excede de una cierta temperatura los aspersores se activarán
emitiendo una lluvia de agua que cubrirá toda el área afecta por el incendio.
El sistema de ventilación es otro sistema de prevención que puede conseguir la salida de

humo y otros agentes contaminantes, causa de los incendios. Un buen sistema de
ventilación lleva incorporado un sistema de ventiladores que al detectar presencia de
humo se activarán para sacar todo el humo posible de los lugares afectados.
Los extintores son un mecanismo manual de prevención contra incendio. Su uso está
recomendado para cuando los demás mecanismos fallen. La colocación de los extintores
debe de estar en zonas de transito como pasillos, vestíbulo y zonas comunes. Y su
utilización debe estar reservada para personal de seguridad o en su defecto para
cualquier persona con mínimos conocimientos sobre su uso.
Otro sistema para la prevención de incendios es un sistema de aislamiento por zonas.

Dicho sistema es muy útil para evitar que se pueda propagar incendios. Su uso está
recomendado siempre y cuando no haya personal atrapado en dichas zonas.
122
y seguridad Física
o Sistema de prevención contra inundaciones
Las inundaciones son otra posible causa de desastre natural, aunque no suelen ser
frecuentes hay que asegurar mecanismos para la prevención de los mismos. Un buen
sistema de prevención contra inundaciones tiene un factor que resulta fundamente.
Dicho factor es un buen sistema de canalizaciones. Un buen sistema de canalizaciones
puede conseguir que zonas inundadas puedan ser desaguadas en cuestión de minutos.
Todas las zonas donde disponga de aparatos eléctricos deben de tener una rejilla con
acceso directo al alcantarillado. Dichas alcantarillas deben de tener una superficie
aconsejable de unos 900 cm (2”).
o Sistema de mantenimiento y seguridad eléctrica
Para poder garantizar el suministro eléctrico constante se aconseja la utilización de un

sistema UPS o de alimentación ininterrumpida. Dicho sistema provee energía a los
dispositivos electrónicos del sistema de información durante un periodo de tiempo
reducido en el momento que se produzca una interrupción del sistema de suministro
eléctrico. También es denominado como batería en back-up y se diferencia de un
sistema de emergencia del sistema eléctrico o generador en que proporciona protección
inmediata ante una interrupción momentánea de energía. Sin embargo debe de ir
acompañado de un generador de energía pues el tiempo en el que proporciona energía es
limitado entre 5 a 15 minutos.
Los sistemas UPS pueden ser utilizados para salvaguardar la información de los
servidores de datos, equipos de comunicaciones u sistemas eléctricos críticos. Las
unidades UPS son muy variados en tamaño van desde pequeños dispositivos para un
ordenador de alrededor de 200 Vatios a grandes unidades para la protección de edificios
enteros de varios megavatios.
Hay varios sistemas UPS cada uno de ellos con sus ventajas e inconvenientes. Los
sistemas UPS offline son sistemas que ofrecen características más básicas pero a la vez
son los más baratos; proporcionan protección y aumento de la batería. Sin embargo, no
son sistemas fiables y pueden fallar. Los sistemas UPS en línea son similares a los
sistemas UPS offline pero con la diferencia que incluyen un sistema multi-espiral con
diferentes niveles de tensión. Es un tipo especial de transformador eléctrico que puede
añadir o restar potencia mediante bobinas, lo que aumente o disminuye la tensión de
salida del generador. Este tipo de sistemas son más resistentes a subidas de tensión que
evitan que el generador pueda ser dañado. Y por último, los sistemas UPS online que
son ideales para sistemas de aislamiento eléctrico con equipos sensible a los cambios de
tensión. Aunque son sistemas que están reservados para grandes instalaciones alrededor
de 10 Kilowatios, los avances tecnológicos están consiguiendo equipos que necesiten
menos potencial (son los sistemas más caros).
123
y seguridad Física
Trabajo en áreas seguras
En anteriores puntos del plan se ha hablado de la seguridad de instalaciones y equipos,

así como sistemas de vigilancia y control. Pero no se ha planteado la seguridad desde el
punto de vista que incluyera la seguridad para los trabajadores. Para ello hay que
cumplir con una serie de requisitos para hacer del lugar de trabajo un lugar seguro.
Dichos requisitos son los siguientes:
o Dar a conocer al personal las áreas seguras y salidas de emergencia.
En los cursos sobre seguridad propuestos en el plan de seguridad para personal, se

incluye un apartado para la prevención de riesgos laborales. En dichos cursos hay que
incluir instrucciones de comportamiento para casos de emergencia y educación para el
uso de los sistemas de seguridad física. Además la organización se debe de
comprometer a dar información a sus empleados de los puntos seguros en caso de
desastre natural dentro del perímetro de la organización, así como las vías más rápidas
para encontrar salidas de emergencia.
o Uso de materiales peligrosos
Los trabajos que usen materiales peligrosos deberán de estar en zonas especialmente
habilitadas para su almacenamiento. Su uso deberá de estar perfectamente reglamentado
y con las herramientas y vestimenta necesarias para su manipulación. El uso de
materiales peligrosos no podrá ser utilizado sin supervisión de un experto. El no
cumplimiento de estas recomendaciones se puede considerará infracción grave según el
código disciplinario (plan de seguridad para personal).
o Bloqueo e inspección de las áreas protegidas
El equipo de seguridad además de controlar el sistema con el sistema de video

vigilancia deberá de inspeccionar físicamente las zonas delicadas en el perímetro de
seguridad (zona de servidores, zona de trabajo y zona de control de seguridad). Dicha
tarea debe de realizarse al menos dos veces al día.
o Limitar el acceso a personal no autorizado
Los sistemas de acceso son eficaces para la prevención de entradas de personal no

autorizado. Pero hay que vigilar que los visitantes al perímetro de seguridad no entren
en zonas de seguridad no autorizadas con ayuda de personal de la organización. Para
ello será obligatorio tener a la vista la identificación personal en todo momento, sin
ningún tipo de excepción y para todo el personal.
124
y seguridad Física
Áreas de acceso público y de carga y descarga
En el plano general del perímetro de seguridad propuesto (48) se contempla áreas de

acceso público. Dichas áreas están representadas por la zona de vestíbulo y la zona
común. La zona de vestíbulo se contempla como una zona de espera y atención al
público, toda persona que acceda a dicha zona deberá de pasar previamente por el
control principal de seguridad. La entrada y salida de personal ajeno a la organización
deberá de quedar registrada indicando nombre, apellidos, DNI, fecha de entrada y
salida. Además las zonas de vestíbulo no están exentas del sistema de video vigilancia,
por lo que al firmar el registro de entrada el usuario de entrada también se
comprometerá a ser video vigilado. La zona común se contempla como una zona
privada de reuniones por lo que se considera impropio utilizar sistemas de video
vigilancia pero si deberá de incluir alarmas y sistemas contra incendios e inundaciones.
La zona de carga y descarga o embarcadero se contempla como una zona puente entre
el perímetro de seguridad y el exterior. Por lo que tiene que tomarse medidas de
protección especiales. En la zona de carga y descarga solo podrá estar personal de la
organización, proveedores o clientes. También se considerará que solo se almacenará
mercancía de la organización. Las cargas y descargas deberán de estar registradas,
indicados el origen, destino, operario encargado, firma de proveedor o cliente y la fecha
de la transacción. Se contempla la utilización de una zona estanca y el embarcadero que
estará video vigilada y con un personal de seguridad que inspeccionará toda la
mercancía que entra y salga del recinto. La entrada al recinto dispondrá de un sistema de
acceso mediante tarjeta inteligente.
7200mm 13300mm
T
3200mm
6000mm
Revisor
900mm
900mm
Zona Estanca Personal

para carga y descarga
11083mm
Zona de
Carga y Descarga
3200mm
(52) Zona de Carga y Descarga
125
y seguridad Física
10.3. Seguridad de los equipos

Emplazamiento y protección de equipos
El emplazamiento de los componentes del sistema de información es una de las tareas

más delicadas a la hora de diseñar un perímetro de seguridad físico. Los equipos de
desarrollo y gestión deben de estar físicamente separados de los servidores y equipos de
comunicaciones de la empresa tal y como se observa en el plano (48). Aunque debe de
haber un sistema de comunicación entre ambos no se debe permitir que los usuarios
tengan acceso a los equipos de red. Esta decisión se toma debido a que el acceso físico
de los usuarios a los equipos de red podría causar vulnerabilidades y ataques internos.
Un posible ataque seria la conexión directa de un equipo de trabajo al router principal
de la empresa. Esta posibilidad haría inservible el perímetro de seguridad lógico (plan
de seguridad para control de acceso) al saltarse el usuario las reglas de tráfico impuesto
por el firewall principal.
También es necesario que el acceso a dichas zonas esté restringido. La zona de trabajo
donde se encuentran los equipos de trabajo deberá de incluir la identificación mediante
tarjeta inteligente. Y solo permitirá el acceso a personal de desarrollo o personal con un
nivel de seguridad superior. La zona de servidores tendrá doble control de acceso: el
acceso mediante tarjeta inteligente a dicha sección del perímetro (solo para personal de
seguridad y de mantenimiento) y el acceso mediante identificación biométrica (la cual
tendrá almacenado los datos del personal encargado del mantenimiento de equipos). Al
mismo tiempo la zona de monitorización de la seguridad también dispondrá de un
acceso de identificación biométrica solo para personal de personal.
Los despachos se consideran una zona de trabajo especial para asuntos de gestión. Cada
despacho llevará incorporado un equipo informático según las necesidades de
computación de las actividades a realizar. Se podrá tener desde un equipo informático
(Thin Client) para las tareas con poca necesidad de cálculo hasta portátiles. Sea cual sea
el equipo de trabajo con el que se trabaje deberá de cumplir con las normas de acceso
del perímetro de seguridad lógico. Y no podrán sacar información reservada del
perímetro de seguridad físico sin una autorización expresa de la dirección de la
organización.
126
y seguridad Física
La protección de los equipos cumple una doble misión. Por un lado asegurar que los
equipos poseen la protección necesaria para la realización de las tareas cotidianas que
no se puedan producir ataques externos. Y por otra asegurar que no se produzcan
ataques internos. Se propone una serie de tareas para la prevención en los equipos:
-Se recomienda tener un sistema de actualización automática de actualizaciones de

seguridad provistas por el fabricante llamado también Hotfix.
-La revisión periódica de actualizaciones de los sistemas operativos (Service Pack) y de

las aplicaciones.
-También será necesario que la instalación de un sistema-antimalware local y de control

de navegación web.
-Los derechos de administrador deben de estar protegidos y solo accesibles para

personal de seguridad. Solo se permitirá derechos de instalación para aquellas personas
que por la dinamización de su trabajo así lo precise.
-Utilizar sistemas de revestimiento para la protección magnética de equipos evita

interferencias con los demás aparatos eléctricos y posibles fugas de información por la
utilización de sistemas de radiofrecuencia.
-El sistema de tarjetas inteligentes (véase plan de seguridad para control de acceso) es
un buen sistema para evitar el acceso a personal no autorizado en los equipos de trabajo.
-Bloqueo de dispositivos de salida físico. Se recomienda el uso de software que controle

los dispositivos físicos de los equipos de trabajo. El software debe ser un sistema
centralizado con acceso desde el puesto de control de seguridad. Entre las tareas que
puede realizar dicho software debe de incluir las siguientes: Control de los usuarios
que tengan acceso a los puertos LPT,COM, infrarrojos, USB, adaptadores Bluetooth,
WIFI, unidades de disco flexible, DVD/CD-ROM y cualquier otro tipo de dispositivo
extraíble, identificar cada uno de los dispositivos extraíbles y la posibilidad de activar
los dispositivos en modo lectura. Y por último realizar un inventario de los usuarios y
dispositivos de almacenamiento conectados a los dispositivos de salida física.
127
y seguridad Física
Instalaciones de Suministros
Los suministros son la base para el mantenimiento del sistema de información. Existen
dos tipos de suministros de nivel primario y los suministros de nivel secundario. Los
suministros de nivel primario se refieren a gas, luz y electricidad. Dichos suministros
básicos son proporcionados por normalmente por otras compañías. Y suelen tener una
instalación y unas indicaciones de seguridad claras provistas por la misma empresa. En
caso contrario hay que asegurarse que las instalaciones se realizan en una zona segura,
aislada de la zona de trabajo y con acceso restringido solo por personal cualificado
mediante tarjeta inteligente. También debe de poseer mecanismos de control y
seguridad que posibiliten la interrupción o el restablecimiento del flujo de suministro.
No hay que olvidar que en la zona donde estén instalados deben de colocarse los
indicativos y medidas de seguridad que indique el fabricante de las maquinas de
suministros. Así como su manipulación debe de ser ejecutada con las medidas de
protección pertinentes y la indumentaria adecuada: guantes de protección, pantalones
impermeables, casco (en caso de obra), gafas de protección (en instalaciones
eléctricas…etc.
Los suministros de nivel secundario se refieren a suministros ofimáticos, de

mantenimiento e informático. Todo este suministro debe de estar inventariado y solo se
permitirá su uso para el desarrollo o mantenimiento de la actividad corporativa. En caso
de los suministros de mantenimiento y limpieza debe de haber un lugar habilitado para
su almacenamiento que asegure el perfecto aislamiento con el resto de las zonas de
trabajo. El material de oficina puede estar al alcance de cualquier empleado siempre y
cuando sea para uso laboral y dentro de las instalaciones de la organización. Si algún
empleado necesitara material de oficina fuera de las instalaciones debería de tener el
visto bueno de su supervisor.
Seguridad del cableado
El sistema de cableado estructurado de la organización o SCE está compuesto por una

paneles de terminación, módulos, conectores, cables, elementos de configuración e
instalación. Los paneles de terminación y control eléctrico deben de estar en aislados y
solo accesible para personal autorizado. Los cables deben de llevar un revestimiento
especial que asegure su aislamiento eléctrico y magnético. La instalación eléctrica debe
de estar oculta de tal forma que no se vea a simple vista y aislada de la instalación de
agua. Los conectores deben de estar en perfectas condiciones de uso y accesibles al
personal. Además el SCE debe de cumplir al menos con la categoría 5e o 6 de la
ISO/IEC IS11801 [ISOIS09]. Cualquier avería en el sistema eléctrico debe de ser
reparada en 48 horas, por lo que se aconseja tener un equipo de mantenimiento.
128
y seguridad Física
Mantenimiento de los equipos
Un buen sistema de mantenimiento tiene en cuenta las condiciones ambientales

[Moreno07] pues son muy influyentes en el deterioro de los componentes eléctricos del
sistema de información. Las temperaturas extremas pueden provocar un daño
irreparable en los componentes eléctricos del sistema, desde fundir los chips hasta la
contracción y expansión del disco duro con la posterior perdida de información. El
rango apropiado para que un equipo funcione correctamente está entre los 10 y 35 ºC.
La humedad en exceso produce resistencia eléctrica y conductividad térmica que
pueden producir cortocircuitos. Una humedad relativa entre el 8 y 80% es suficiente
para el buen funcionamiento del sistema eléctrico. No obstante, siempre hay que mirar
las recomendaciones del fabricante. La altitud afecta de forma directa a la precisión esto
puede producir fallos en el sistema de ventilación de los equipos informáticos. Para un
buen funcionamiento se recomienda trabajar en lugares de entre 0 y 3.000 m al nivel del
mar. A mayor altitud habrá que tomar las medidas pertinentes que aconseje el
fabricante.
El mantenimiento del equipo también incluye la limpieza del mismo. Las partículas de
polvo pueden producir efectos negativos a los componentes mecánicos. Hay que evitar
fumar y comer en los lugares de trabajo y tener las ventanas cerradas.
La corrosión es otro de los factores determinantes en el deterioro de los componentes

eléctricos. El contacto físico es el mayor causante de este problema, por lo que hay que
evitar el contacto directo de los componentes eléctricos de las máquinas. Otro de los
factores de corrosión son los materiales corrosivos los cuales a la vez que los elementos
inflamables deben de estar prohibidos en el ambiente de trabajo. Dichos elementos solo
serán utilizados por personal cualificado y en situaciones de necesidad.
Las vibraciones e impactos son otro de las causas de daño en los sistemas de
información. Un equipo informático soporta un impacto de 92 G por cada 2 ms. Y una
vibración de 0.5 en un barrido de 3 a 200 Hz durante 15 minutos. Para evitar estos
fenómenos hay que asegurarse que los componentes de cada máquina están
perfectamente sujetos y en lugares estables.
El ruido acústico es uno de los factores menos valorados para el mantenimiento de los
equipos. Pero afecta a la ergonomía de los apartados eléctricos. La OMS recomienda no
exceder de los 55 dB en el entorno de trabajo. También advierte que la exposición a 85
dB durante más de una hora puede producir daños ergonomía de los equipos
informáticos y daños irreparables al oído humano.
129
y seguridad Física
Seguridad de los equipos fuera de las instalaciones
Los equipos informáticos que se utilice para teletrabajo deben de cumplir con unas
recomendaciones básicas de seguridad tal y como se aconseja en el plan de seguridad en
comunicaciones. Los equipos informáticos que salgan de las instalaciones deben de
estar inventariados. Indicando su portador, fecha de salida y entrada, identificador del
equipo, y nivel de seguridad. El nivel de seguridad de los equipos informáticos
dependerá del acceso a los ficheros que puede tener el usuario portador del mismo. Las
medidas de seguridad a aplicar serán las recomendadas en el plan de seguridad para
datos.
La pérdida o extravío de los equipos informáticos debe de ser notificado al equipo de

seguridad de la organización. En dicho caso el equipo de seguridad de la empresa
deberá de dar de baja al usuario en la infraestructura de clave pública, restringiendo
todo los accesos. También deberá de prestar especial atención a los ficheros que haya
visitado el usuario últimamente para revisar si ha habido alguna fuga de información.
Una vez realizado la reestructuración del sistema y aclarado las causas de la pérdida o
extravío, se procederá a avisar a las autoridades sobre el asunto en cuestión.
Reutilización o retirada seguridad de equipos
Todo equipo informático tiene un periodo de duración relativamente corto debido a la

velocidad de cambio de las tecnologías asociadas. Esto plantea la necesidad de utilizar
una política de compra inteligente a la hora de elegir un equipo informático. No se debe
de guiar por una política de bajos costes debido a que la calidad de los componentes
hardware suele ser fundamental a la hora de comprar un equipo informático. Pero
tampoco hay que guiarse por comprar los equipos informáticos más caros, debido a que
las ventajas sobre equipos ligeramente inferiores suelen ser mínimas y los costes
altamente superiores. La mejor política de compra para equipos informáticos es confiar
en fabricantes de confianza y ya establecidos en el mercado y que la compra la haga una
persona experta en las necesidades de computación de la organización.
La ampliación de potencia de los equipos informáticos por la actualización de los

componentes debe de realizar personal de mantenimiento. La instalación o reparación
de equipos se debe de realizar en una zona habilitada para el mismo y con el acceso
restringido a personal no autorizado.
Los equipos informáticos que queden anticuados para las tareas de desarrollo no deben
de ser retirados inmediatamente. Pues se pueden utilizar para tareas de gestión que
necesitan menos peso computacional. Sin embargo el equipo debe de ser actualizado
para tal fin con las recomendaciones del plan de seguridad en sistemas.
130
y seguridad Física
Retirada de materiales propiedad de las empresa
Todos los materiales de la empresa deben de estar perfectamente inventariados y uso

debe de ser controlado. Cada material lleva asociado un código de identificación
inequívoco. Cuando un material sea retirado debe de quedar indicado en el albarán de
materiales de la empresa.
La retirada de material no informático no revierte un peligro para el sistema de

información, por lo que no precisa de medidas de seguridad especial. No obstante hay
que asegurarse que realiza la retirada efectiva y que dicha retirada la realiza el servicio
de limpieza de la empresa.
La retirada de equipos informáticos ya sea por desuso o avería debe de seguir un

protocolo fijado que será el siguiente. En primer lugar, la retirada de todos los
componentes que estén en desuso no debe interferir con la actividad normal de trabajo.
La retirada la hará una persona cualificada para ello y lo enviará a un almacén con
control de acceso. Debe de asegurarse que no haya información de la empresa ni ningún
activo vital para la empresa. Y por último, debe de enviar el equipo a una planta de
reciclaje donde los materiales sean destruidos y reestructurado para otros usos.
131
para Gestión de Riesgos
11 PLAN DE SEGURIDAD
PARA GESTIÓN DE RIESGOS
Propósito
El propósito de este plan es dar un marco de actuación ante una situación de ataque al
sistema. Para ello se analizará los puntos débiles del sistema y la forma de solventar los
incidentes que puedan surgir en el sistema. También se desea dar mecanismos de
actuación para realizar mejoras en los controles de seguridad del sistema de
información. Evaluando posibles riesgos y reevaluando los controles ya existentes.
Alcance
El alcance de dicho plan se aplica a la totalidad del sistema de información de la

organización. Es decir a todos los usuarios que intervengan en el sistema, así como sus
componentes físicos y lógicos.
Objetivos
capítulos 13 y 14. A continuación una lista se muestra los controles tratados en este
plan:
13. Gestión de incidentes en la seguridad de la información

13.1. Notificación de eventos y puntos débiles de la seguridad de la
información
13.1.1. Notificación de los eventos de seguridad de la información
13.1.2. Notificación de puntos débiles de la seguridad
13.2. Gestión de incidentes de la seguridad de la información y mejoras
13.2.1. Responsabilidades y procedimientos
13.2.2. Aprendizaje de los incidentes de seguridad de la información
13.2.3. Recopilación de evidencias
14. Gestión de la continuidad del negocio
14.1. Aspectos de seguridad de la información en la gestión de la continuidad
del negocio
14.1.1. Inclusión de la seguridad de la información en el proceso de gestión de la
continuidad del negocio
14.1.2. Continuidad del negocio y evaluación de riesgos
14.1.3. Desarrollo e implantación de planes de continuidad que incluyan la
seguridad de la información
14.1.4. Marco de referencia para la planificación de la continuidad del negocio
14.1.5. Pruebas, mantenimiento y reevaluación de planes de continuidad
132
11.2 Notificación de eventos y puntos débiles

de la seguridad de la información
Notificación de los eventos de seguridad de la información
Todo sistema de información tiene unos procesos que debido a su vulnerabilidad deben
de ser controlados. Estos procesos hacen referencia a la entrada/salida al sistema,
manipulación de la información y comunicaciones con el sistema. Dichos eventos que
deben de guardarse en bases de datos y ser chequeadas por el servicio de seguridad de la
empresa. Se apoyan en la infraestructura de seguridad descrita en el plan de seguridad
en control de acceso.
El acceso al sistema de información está controlado por una infraestructura de clave

pública mediante tarjeta inteligente. Cuando el usuario entra desde su terminal de
trabajo, dicha información es revisada por la autoridad de registro del sistema. La
información de acceso al sistema se envía al servidor de acceso. Y este último acumula
la información de acceso y la envía al servidor de monitorización al final de la jornada
una vez finalizada la jornada laboral. La comunicación entre servidores se realizará
mediante paquetes UDP, con identificación MAC antes de las comunicaciones. La
información de entrada y salida puede ser registrada en base de datos y resaltar posibles
incidencias. En el diseño de base de datos debe quedar constancia todos los usuarios que
entraron al sistema, desde la estación de trabajo donde lo hicieron (sería bueno registrar
todas las direcciones MAC de las estaciones de trabajo) y la fecha de entrada y salida al
sistema.
La manipulación de los ficheros debe quedar registrar para determinar si un archivo ha

sido corrompido o no. Una vez pasado los controles de acceso al sistema. El usuario
podrá acceder a los ficheros a los cuales tenga permiso. Dichos archivos están ubicados
en un servidor y no serán almacenados en las estaciones de trabajo. Con la posibilidad
de trabajar online con los ficheros o de bajarlos y subirlos desde servidor. Al acceder a
ficheros el gestor de base de datos del sistema de información debe recopilar
información sobre la manipulación de los ficheros y enviársela al servidor de
monitorización. La información que debe de enviar el gestor después de la jornada
laborar incluye, identificador del usuario, identificador de los ficheros a los cuales haya
accedido, desde que estación de trabajo a accedido y la fecha de acceso.
Las comunicaciones de los usuarios con el exterior deben de quedar registradas para
ello es de especial interés guardar la información del correo corporativo. El servidor de
correo de la organización como controlador del tráfico de correo debe de ser el
encargado de enviar la información al servidor de monitorización. Entre la información
que debe incluir se encuentra, el identificador de usuario, fecha de emisión, dirección de
envío y ficheros enviados.
133
Acceso Sistema
1 PK Fecha de entrada
PK Identificador
PK Estación de Trabajo
1…* Fecha de salida
1
Comunicaciones Mail
Acceso Ficheros
PK Fecha emisión 1…* PK Identificador Fichero
PK Fecha de Acceso
Dirección envío
Firmado
Modificado
Cifrado
FK1 Estación de Trabajo
FK1 Estación de Trabajo
FK1 Fecha de entrada
0..1
Ficheros Mail
PK,FK1 Fecha emisión

PK,FK2 Fecha de Acceso
PK,FK1,FK2 Identificador
1…*
PK,FK2 Identificador Fichero
Clase de Fichero
Fecha de emisión
(53) Base de datos de monitorización
Notificación de puntos débiles de la seguridad
Una de las labores más importantes del sistema de seguridad para la información es la
monitorización. La monitorización debe de ser precedida por un estudio de
vulnerabilidades donde se indique en qué puntos un sistema puede ser atacado. El
instituto SANS* recoge desde su página web oficial las 20 vulnerabilidades más
importantes en los sistemas de información. Analizaremos las vulnerabilidades que
afectan a todos los sistemas denominados como grupo G. Y la solución que ofrece la
arquitectura de seguridad propuesta.
G1- Instalaciones por defecto de sistemas operativos y aplicaciones de muchos

programas. Muchas instalaciones incluyen configuraciones por defecto que pueden ser
utilizados como Backdoors* por algunos atacantes. Por eso es preciso un plan de
aplicaciones en el proyecto de configuraciones del sistema de seguridad de la
información. Donde se especifique que servicios son necesarios y cuáles no.
G2-Cuentas de usuario sin contraseña o con contraseña fácilmente identificable. Dicho

problema está descartado para este sistema pues utiliza un sistema de tarjetas
inteligentes basadas en algoritmos de curva elíptica con claves de seguridad de hasta
512 bit.
El Instituto SANS* (SysAdmin Audit, Networking and Security Institute) es una institución con ánimo de lucro fundada en 1989,
con sede en Bethesda (Maryland, Estados Unidos) que agrupa a 165.000 profesionales de la seguridad informática
Backdoor* o puerta trasera es una secuencia especial dentro del código de programación mediante la cual el programador puede
acceder o escapar de un programa en caso de emergencia o contingencia en algún problema.
134
G3- Copias de seguridad no existentes o incompletas. Un ataque al sistema de

información puede provocar la caída del sistema o la perdida de ficheros. Por eso es
necesario tener un sistema de recuperación del sistema que contemple la restauración
plena del sistema en caso de ataque. Para ello se recomienda el unos de un sistema de
backups basado en RAID (véase plan de seguridad en comunicaciones). Acompañado
por el plan de continuidad expuesto en el punto de gestión de continuidad de este plan.
G4- Gran número de puertos abiertos. Los servicios ofrecidos por el sistema de
información pasan por comunicaciones online a través del uso de puertos TCP/UDP.
Los usuarios al sistema aceden a sus servicios de trabajo a través de esos puertos. Pero
una mala gestión de puertos puede acarear un ataque desde el exterior mediante un
escaneo de puertos*. Por eso es necesario crear un plan de comunicaciones que
contemple todos los servicios que son necesarios para el sistema, asignarle unos puertos
y cerrar todos aquellos que no sean útiles (véase plan de seguridad en comunicaciones).
G5- No realizar correctamente el filtrado de las direcciones entrantes y salientes. La

suplantación de direcciones IP es uno de los métodos más frecuentes para la ocultación
de la identidad de los atacantes. Una solución a este problema es tener identificado
todos los equipos del sistema mediante un registro de estaciones de trabajo. Dicho
registro podrá asociar una dirección MAC a una dirección IP valida del sistema. El
registro se puede implantar en el proceso de validación de acceso al sistema planteado
en el plan de seguridad en control de acceso.
G6-Registro de actividad no existente o incompleto. El sistema de seguridad de la

información que se plantea en este proyecto cumple una máxima que es que todas las
actividades del sistema deben de quedar registradas. Para ello se propone el servidor de
monitorización (véase plan de seguridad en control de acceso) cuya finalidad es
almacenar la información sobre accesos al sistema, ficheros y control de
vulnerabilidades.
G7- Programas CGI* vulnerables. Los servidores web permiten la utilización de

programas CGI para poder ofrecer servicios web al usuario. Sin embargo, dichos
programas pueden ser utilizados para recopilar información, identificar a los usuarios,
etc. La manera más sencilla de prevención contra dichos programas, es la
estandarización de los programas corporativos a través de un plan para programas. En
dicho plan se recogerá todos los programas permitidos en el sistema y su
correspondiente colección de números de serie.
El término escaneo de puertos* se emplea para designar la acción de analizar por medio de un programa el estado de los puertos de
una máquina conectada a una red de comunicaciones. Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y
posibles vulnerabilidades de seguridad según los puertos abiertos.
CGI* (Common Gateway Interface) Interfaz de entrada común es una importante tecnología de la World Wide Web que permite a
un cliente solicitar datos de un programa ejecutado en un servidor web.
135
11.3 Gestión de incidentes y mejoras

Responsabilidades y procedimientos
Uno de los principales procedimientos en un plan de seguridad para la gestión de la

seguridad es crear un plan de contingencia. Unas de las tareas antes de planear un plan
de contingencia es depurar las responsabilidades antes las posibles actuaciones que
pueda acarear un fallo en el sistema. Dichas responsabilidades están basadas en el
reparto de tareas en base a la seguridad descrito en el plan de seguridad para personal.
En caso de que ocurra un incidente previsible (para que un incidente sea previsible el
comité directivo tiene que haber sido informado antes), por causa de un ataque interno,
externo o daño medioambiental. El comité directivo como responsable de apoyar al
sistema de seguridad y las mejoras del mismo. Será responsable indirecto de dichos
incidentes si no apoya la gestión de su departamento de seguridad y no da autorización
para acometer las mejoras en el sistema de seguridad de la información que se
consideren objetivamente (se determina una mejora objetiva grave a aquella que
siguiendo las recomendaciones de organismos internacional pueden acarrear
consecuencias graves) graves o muy graves. El responsable indirecto de seguridad de la
empresa, será responsable de casos previsibles si no se cumplen los objetivos marcados
por el plan de gestión para la seguridad de la información. Será responsable indirecto
del mismo modo el director organizativo o los jefes de departamento si no cumplen con
las tareas de seguridad encomendadas. Se considerará responsable directo a la persona
que según los procedimientos de recopilación de evidencias descrito en este plan, sea el
autor material del incidente en cuestión.
Una vez depuradas responsabilidades, hay que considerar que requisitos necesita un
plan de contingencia para un sistema informático. Un plan de contingencia debe de
incluir los siguientes puntos:
o La redundancia de los componentes más críticos.
En el perímetro de seguridad descrito en los planes de seguridad para control de acceso

y seguridad física, hay una serie de componentes que se consideran críticos. Estos son
aquellos que en caso de fallo o ataque puedan colapsar el sistema de información.
En el perímetro de seguridad lógico se considera componentes críticos los siguientes

elementos: firewall central, servidor de acceso, base de datos y servidor de base de
datos. Se recomienda duplicar dichos elementos.
En el perímetro de seguridad físico se considera componentes críticos los siguientes

elementos: accesos (debe de incluir una salida de emergencias), sistema contra
incendios (se debe incluir extintores y sistema de riego automático) y sistema de
apertura (mediante tarjeta inteligente y manual en caso de fallo del primero).
136
o La puesta en marcha de un centro de respaldo alternativo.
Dicho sistema debe de cubrir al menos con las necesidades mínimas del sistema de
información de la empresa. Se debe de ubicar en un lugar físicamente y lógicamente
separado del sistema de información primario. Dicho sistema debe de incluir al menos
el 25% de los puestos de trabajo de la empresa. Acceso al backups de las bases de datos
descrito en el plan de seguridad en comunicaciones. Un sistema de extintores y un
sistema de ventilación básico. Dicho sistema se puede realizar con componentes
obsoletos para el sistema de información central para reducir costes.
o El chequeo completo y periódico de los servicios de copia de respaldo.
El sistema de copias de seguridad descrito en el plan de comunicaciones debe de ser

chequeado por el personal de seguridad al menos una vez cada mes. En dicho chequeo
se debe incluir una vista con todos los ficheros del sistema y chequearlos contra los
ficheros copias del sistema de respaldo. Se debe de revisar que la comunicación del
sistema de ficheros principal y el sistema de copias es correcto y está aislado de los
demás sistemas de información.
Aprendizaje de los incidentes de seguridad de la información
Algunos incidentes o ataques de la seguridad son imprevisibles o difíciles de detectar

por las limitaciones jurídicas e informáticas. No obstante no es un buen consejo caer en
la desesperación u apatía. Por ese motivo se plantea un sistema cíclico en la gestión del
sistema de seguridad, al entenderse que no se puede garantizar la seguridad en un 100%.
Por eso cada vez que surja un incidente hay que realizar las siguientes operaciones:
o Estudio de impacto
Cuando se produzca un incidente, lo primero que hay que realizar es un aislamiento de

los componentes del sistema afectados. En caso de desastre natural hay que comprobar
físicamente cada uno de los ordenadores comprobando el estado físico de cada una de
las piezas por separado. En caso de ataque informático, hay que observar basados en los
datos del servidor de monitorización, si ha habido un acceso de personal no autorizado
al sistema y a que sistemas y ficheros ha tenido acceso. En caso de un ataque por
denegación de servicio se debe de comprobar los protocolos de comunicaciones y los
servidores afectados.
o Reingeniería de controles
Una vez identificados los elementos afectados, hay que determinar las causas del ataque
y reestructurar los controles que se deban de ser actualizados. Para ello se debe de
proceder a su aislamiento y si fuera necesario sustitución de los mismos.
137
Recopilación de evidencias
La recopilación de evidencias es un proceso complicado que todavía no está muy bien

desarrollado. Los procesos judiciales se están adaptando para los delitos informáticos. Y
para poder demostrar el no repudio de un atacante en los delitos informáticos nació la
informática forense.
La informática forense [Bevil03] es una rama de la informática que trata de averiguar los
hechos con los cuales se pueda demostrar la autoría de un delito informático. El proceso
consta de 4 partes principales: Identificación, adquisición, análisis y presentación. Cada
una de las partes es continuación de la siguiente. No obstante, existe una relación de
retro propagación entre las mismas al ser un proceso de investigación donde las causas
no están determinadas.
o Identificación
El proceso de identificación trata de recopilar información de manera inteligente. En

este proceso se plantea que información se requiere recuperar y cuál va a ser su
finalidad. Dicha fase es muy importante pues determina los pasos que se seguirán
durante el proceso de investigación.
o Adquisición
El objetivo de esta fase es obtener copias de todos los datos digitales que serán
procesados en la fase de análisis. Esto incluye tanto archivos de texto, como de video y
audio. Todas las fuentes de datos deben de ser incautas y chequeadas mediante
herramientas de recuperación de datos. Todos los datos recopilados deben de ser
ordenados y clasificados. Al final de este proceso se debe de obtener una validación
notarial del mismo para que posea valor jurídico.
o Análisis
El análisis es la fase que convierte los datos digitales en pruebas de delito. Los
componentes fundamentales de esta tarea son la agregación, correlación, filtrado,
generación y purificado de los datos. En dicha fase de análisis debe de incluirse pruebas
digitales que relación al autor material del delito.
o Presentación
La presentación de las pruebas supondrá la creación de un informe final, donde se

detalle de qué manera se han conseguido las pruebas y la exposición de los métodos
utilizados para su obtención. También debe de adjuntar detalles necesarios para que un
examinador independiente pueda llegar a las mismas conclusiones recogidas en dicho
informe.
138
11.4 Gestión de continuidad

Continuidad del negocio y evaluación de riesgos
Todo plan de contingencia que se precie debe de ir acompañado de un plan de

continuidad del negocio [Barry07]. Anteriormente se ha expuesto mecanismo de
prevención contra incidentes, pero que pasa si se el riesgo se llega a suceder. Según el
Emergency Management Forum* solo un 5% de las empresas que no disponían de un
plan de continuidad de negocio logran sobrevivir después de un incidente grave.
El primer paso para crear un plan de continuidad del negocio es realizar BIA. Un BIA
es un análisis de impacto sobre la empresa basado en las vulnerabilidades del sistema de
información y otros componentes de riesgos. El resultado del análisis es un informe que
describe los posibles riesgos específicos en una organización. Los posibles riesgos
asociados al sistema de información propuesto son:
Riesgos Medidas Preventivas Frecuencia

Servidores, Firewall, router y sistema de almacenamiento de datos
masivo deben de estar en una zona elevada y con aislamiento ante la
humedad.
Inundaciones Las ventanas, techo y puertas deben de estar en perfectas condiciones y Baja
revisados contra fugas
Instalar sensores de humedad
Los sistemas de backups deben de localizarse en una zona físicamente
separada de la instalación central de almacenamiento
Sistema UPS de restablecimiento de la energía
Cortes de electricidad Utilización de un generador central con suministro de combustible Media

abundante
Utilización de generadores portátiles
Sistema de Backups para datos
Teletrabajo
Daños estructurales Media
Centro de respaldo alternativo
Revisiones estructurales periódicas
Revisión en los sistemas de fibra óptica
Cortes en comunicaciones
Utilización de teléfonos digitales de marcación directa Media
de voz o datos
Utilizar un sistema de comunicaciones GPS
Teletrabajo
Incomunicación física Bajo
Instalaciones en lugares de clima templado
Utilización de extintores y sistema de riego
Incendios Bajo
Aislamiento térmico de servidores, firewall, puestos de trabajo…etc.
(54) Tabla de riesgos
Emergency Management Forum* es una agencia gubernamental norteamericana que se encarga del estudio de la gestión de
emergencias a través de estudios de empresas.
139
Inclusión de la seguridad de la información en el proceso de gestión

de la continuidad del negocio
Una vez puestos las bases del BIA hay que plantear una serie de tareas y estrategias para
la prevención de riesgos. Las principales tareas a realizar son:
o Revisión del alcance del BIA
El BIA planteado anteriormente afecta a todos los componentes hardware del sistema de
información de la empresa. Por lo tanto merece plantear sistemas estratégicos para la
totalidad del sistema de información.
o Generación de diferentes estrategias

Aceptar
Riesgo
Evitar
Riesgo
Identificación Análisis Análisis ¿Diseño de
del riesgo cuantitativo cualitativo respuesta?
Inicio Transferir
Fin
Riesgo
Mitigar
Riesgo
(55) Estrategias contra riesgos
La primera fase descrita en el BIA es la identificación de riesgos. A eso le debe de

seguir un análisis cuantitativo del riesgo que debe de responder a la siguiente pregunta:
¿Cuánto me cuesta un ataque producido por este riesgo?. La tercera fase del proceso es
el análisis cualitativo en dicho análisis debemos dar una valoración de la posible
actuación del riesgo (54). Por último hay que desarrollar una respuesta en base a los
análisis anteriormente realizados y a los medios disponibles.
o Aprobación por parte de la Dirección
Por último una vez desarrollado el plan de continuidad de la empresa debe ser aprobado
por el comité directivo de la organización.
Marco de referencia para la planificación de la continuidad del

negocio
La planificación de un proyecto de continuidad del negocio deberá de seguir los mismos

pasos que la planificación para la gestión de seguridad del sistema de información.
Donde habrá una fase de análisis de requisitos, identificación de riesgos, análisis de
riesgos, diseño e implantación de respuestas.
140
Desarrollo e implantación de planes de continuidad que incluyan la

seguridad de la información
El diseño de respuesta ante un riesgo implica diferentes opciones [Muño709]. Dichas

opciones son las siguientes:
o Aceptar el riesgo
Se entiende el riesgo, su impacto y su probabilidad pero se decide no hacer nada. En

caso de que se materialice el riesgo se actuará en el momento aplicando el plan de
contingencia.
o Evitar el riesgo
Se elimina el riesgo si se eliminan las causas. Esto significa implantar las medidas
recomendadas por el plan de prevención de riesgos (54). Asumiendo el coste de
materiales y personal que supone.
o Transferir el riesgo
Transferimos las responsabilidades del riesgo a otra entidad. Esto supone un

outsourcing del sistema de seguridad. Donde la confianza con el proveedor de servicio
debe ser muy alta.
o Mitigar riesgo
Se trata de reducir el impacto o probabilidad del mismo. Esto se consigue utilizando

métodos de prevención pasivos que son menos costosos que los métodos de prevención
activos. Dicha opción se recomienda para riesgos con soluciones de coste alto e impacto
moderado.
Pruebas, mantenimiento y reevaluación de planes de continuidad
Los controles para la continuidad del negocio se implantarán dentro del ciclo de vida de
la política de seguridad de la organización (véase política de seguridad). Las pruebas y
reevaluación de los controles del plan continuidad seguirán los patrones del plan de
seguridad en auditorias.
141
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
12 PLAN DE SEGURIDAD EN AUDITORIAS

Propósito
Una arquitectura de seguridad no es un sistema perfecto pues se apoya en un

componente imperfecto que es el factor humano. Debido a esa deficiencia en el origen
surge la necesidad de una revisión periódica y continua. Para conseguir tal objetivo hace
falta una serie de auditorías tanto internas como externas para verificar la calidad del
sistema. A lo largo de este plan se detallarán como deben de ser esas revisiones.
Alcance
El alcance de dicho plan se aplica a la totalidad de los componentes del sistema de

información. Es decir a todos sus componentes mecánicos, como son puestos de trabajo,
servidores, routers…etc. Así como a su componente humano es decir a todos los
usuarios del sistema. También entran en dicho plan la revisión de procesos y
procedimientos en el sistema de información.
Objetivos
controles del capítulo 15, 10 y 6 que no se han incluido en los planes de seguridad en
datos, comunicaciones e interna. A continuación una lista se muestra los controles
tratados en este plan:
15.1. Cumplimiento de los requisitos legales

15.1.6. Regulación de los controles criptográficos
15.2. Cumplimiento de las políticas y normas de seguridad y cumplimiento
técnico
15.2.6. Cumplimiento de las políticas y normas de seguridad
15.2.1. Comprobación del cumplimiento técnico
15.3. Consideraciones de las auditorías de los sistemas de información
15.3.1. Controles de auditoría de los sistemas de información
15.3.2. Protección de las herramientas de auditoría de los sistemas de
información.
10.10. Supervisión
10.10.1. Registro de Auditorías
10.10.2. Supervisión de uso del sistema
10.10.3. Protección de la información de los registros
10.10.4. Registros de administración y operaciones
10.10.5. Registros de fallos
10.10.6. Sincronización de reloj
6.1. Organización Interna
6.1.8. Revisión independiente de la seguridad de la información
142
12.2 Cumplimiento de las normas de seguridad y cumplimiento

técnico
Cumplimiento de las políticas y normas de seguridad
Para el cumplimiento del plan de Seguridad de datos se contempla la creación del

encargado de seguridad en datos. El encargado de seguridad o administrador de
seguridad en la empresa será el encargado de velar por el cumplimiento de las normas
aquí estipuladas. Además jugará el papel de auditor interno, cuya finalidad será la de
revisar periódicamente los controles de la arquitectura de seguridad.
Tendrá que adquirir conocimientos suficientes sobre leyes (LOPD, ISO 27002) y sobre
seguridad informática para el cumplimiento de su función .Dicha persona tiene un nivel
de seguridad A1 es decir puede tener acceso a todos los archivos. También es el
responsable de informar a la agencia de protección de datos sobre la existencia de los
ficheros de nivel básico, medio-bajo, medio, medio-alto y alto, tal como estipula la ley.
Comprobación del cumplimiento técnico
El encargado de seguridad tiene la potestad para derogar la tarjeta de seguridad a

cualquier empleado que tenga un nivel inferior al suyo y en caso de infracción. Se
considerará como infracción lo siguiente:
o Infracción Leve
Causa: Acceso no autorizado a archivos.
Medida disciplinaría: Amonestación por parte del encargo.
o Infracción Media
Causa: Creación o Modificación de archivos no autorizado.
Medida disciplinaría: Expulsión temporal de la empresa.
o Infracción Grave
Causa: Robo o Cancelación de archivos no autorizado.
Medida disciplinaría: Despido de forma inmediata.
Las medidas disciplinarías son orientativas y en aplicación para dirección de la empresa.

El encargado de seguridad en datos es el responsable de demostrar los dichos hechos.
Cada dos meses el encargado de seguridad tendrá que realizar trabajos de auditoría
sobre datos, dichas auditorias están descritas en este plan.
Entre las tareas a realizar también destaca se destaca lo siguiente:
o Velar por la organización de archivos: Que cada archivo tenga su nivel

correspondiente.
o Velar por la jerarquía de usuarios: Que cada miembro del personal tenga su
nivel.
o Velar por el cumplimiento de las medidas de seguridad.
143
El encargado de seguridad podrá tomar las medidas que considere oportunas para el
correcto cumplimiento de las tareas. De mismo modo, el encargado de seguridad solo
responderá de sus actuaciones ante el Director Ejecutivo de la empresa.
Regulación de los controles criptográficos

Toda la estructura criptográfica que se crea en torno a la infraestructura de clave pública
está basada en la norma PKCS#13. Dicha norma está siendo desarrollada por RSA
laboratorios como parte de las normas de criptografía de clave pública (PKCS). Aunque
todavía no está del todo definida si están implantadas las bases de la norma, que será lo
que se use para la creación de la PKI.
PKCS#13 utiliza se basa en los estándares X9.62, X9.63 (los cual define el algoritmo
ECDSA) y la regla P1363 (la cual define el algoritmo MQV). Algunos de los aspectos
que cubre la norma son los siguientes:
o Parámetros y claves: Siguiendo las definiciones generales X9.62 y P1363. Los

tipos de parámetros son sacados de campos finitos sobre puntos de curva
elíptica.
o La firma digital: Para la firma digital se recomienda la implantación de dicha
versión para el algoritmo ECDSA de la norma X9.62
o Los sistemas de cifrado: Aunque está por determinar se apuesta por la
utilización de hardware criptográfico HSM.
o Intercambio de claves: Se desea seguir la regla P1363 para el intercambio de
claves de sesión.
La funcionalidad de cada uno de los algoritmos escogidos en la PKI se encuentra

resumida en el plan de seguridad de sistemas. Los algoritmos seleccionados en dicho
plan son el ECDSA (una modificación del algoritmo DSA para algoritmos de curva
elíptica) y MQV (una versión de Diffie-Hellman para operaciones sobre puntos de curva
elíptica).
El tipo de software que se puede utilizar para estos algoritmos va desde software de
distribución libre (OpenSSL del OpenSSL Project) hasta software comercial (Vault
Registry de IBM). La mejor opción sin embargo es adaptar un software de libre
distribución a las necesidades de la organización, debido a la inmensa cantidad de
librerías de libre distribución con algoritmos criptográficos (PKCS#15).
El hardware criptográfico o HSM es un dispositivo criptográfico para la generación,

almacenamiento y protección de claves criptográficas. Dichos dispositivos son usados
para utilización de claves privadas en PKI y para la protección de clave públicas. En la
infraestructura de clave pública se aconseja la utilización de tarjetas inteligentes para
almacenar claves privadas.
144
12.3 Consideraciones de las auditorias

en los sistemas de información
Consideraciones de las auditorías de los sistemas de información
El objetivo de una auditoria es la de verificar la calidad de los controles de seguridad en
la arquitectura de seguridad, verificando la política de seguridad de la empresa. Así pues
tenemos la información de los sistemas de información que deberá estar resguardad de
un control de acceso incorrecto y deberá de mantenerse actualizada.
Los cambios en los programas deben de ser debidamente aprobados según el

procedimiento de cambio del plan de seguridad en sistemas. Dicho cambio también
afecta a la auditoria, por lo tanto cuando se realice un cambio además de cambiar el plan
de aplicaciones también habrá que cambiar el plan de auditorías.
El desarrollo de un procedimiento interno de auditorías debe ser un proceso cíclico

adaptándose a los cambios que el sistema de información de la organización pueda
sufrir. A continuación, se muestra un esquema con los pasos que debe de cumplir la
gestión de una auditoría interna.
Creación de
un entorno
de desarrollo
Asignación
de recursos
Administración
de puntos de
control
Diseño de
Gestión de modelos y
mejoras en el Validación de
proceso de modelos
auditorias
Diseño de
Supervisión y modelos y
control Validación de
modelos
(56) Proceso de Auditoría Interna
145
o Creación de un entorno de control
El primer paso en la gestión de auditorías es crear el plan de gestión de auditorías.

Donde se definirán las necesidades para el control basado en el tamaño del sistema de
información, cantidad de archivos críticos, puestos de trabajo y personal.
o Asignación de recursos
Una vez definidos los objetivos de las auditorias, hay que proceder a la asignación de
recursos. Como mínimo una auditoria debe de disponer de los siguientes recursos: Una
persona asignada para la gestión de las auditorias, material de oficina, software en
gestión de auditorías*. También el auditor necesitará acceso completo al sistema y
apoyo por parte de la dirección para hacer su trabajo.
o Administración de puntos de control
Determinar los puntos de control a analizar es un proceso cíclico debido a las

necesidades de cambio que pueda acarrear el sistema de información. En ella se
analizará los distintos componentes del perímetro de seguridad y sus posibles
vulnerabilidades a ser revisadas.
o Diseño de modelos y validación de modelos
Hay varios modelos que se pueden implantar a la hora de hacer una auditoria. Los
modelos más conocidos son: verbales o testimoniales, donde el auditor recoge una serie
de respuestas basadas en entrevistas al personal, documentales donde se apoyado en test
analiza cada uno de los puntos de control y analíticas a través métodos comparativos, de
correlación, selectivos…etc. La validación de estos modelos puede ser numérica o
cualificativa siempre y cuando se marquen unos críticos homogéneos para todos los
controles.
o Supervisión y control
Para la revisión de las controles hay diferentes métodos: Inspección: Consiste en el

reconocimiento mediante revisión física de los componentes, Comparación: se compara
un elemento con otro igual, Revisión Selectiva: donde se analizan según los controles
según su vulnerabilidad.
o Gestión de mejoras en el proceso de auditorias
Las mejoras en el sistema de información de la organización influye en las auditorías

por lo que el establecimiento de nuevas preguntas de test y controles debe de ser
contemplado.
Software de gestión de auditorías* ejemplo: EAR/Pilar (Entorno de análisis de riesgos). Herramienta en español, basada en Magerit
para pymes.
146
Controles de auditoría de los sistemas de información
Determinar los puntos de control del sistema necesitará analizar cada uno de los
componentes del sistema de información y sin olvidar las entrevistas al personal. La
rigurosidad con que se lleve a cabo cada uno de las auditorias dependerá de la
vulnerabilidad que pueda tener dicho control. De los controles planteados por la ISO
27002 el autor deberá cerciorarse de que se cumple con los siguientes:
Del Plan de seguridad interna
o Identificación de los riesgos derivados de terceros. Se debe de comprobar en la

lista de visitas si los visitantes han sido registrados correctamente. También
deberán de revisar que los datos corporativos de los usuarios con nivel de
seguridad C2.
o Uso aceptable de los activos. Se debe de comprobar el registro de los activos y

quien está utilizando cada uno de ellos.
Del Plan de seguridad en personal
o Devolución de los activos. Comprobar en el registro de activos que las

propiedades que estén libres se encuentran en almacén.
o Retirada de los derechos de acceso. Se debe de comprobar que los usuarios
dados de baja, lo están a todos los efectos.
Del Plan de seguridad en medio ambiente y seguridad física
o Seguridad de las instalaciones, despachos e instalaciones. Se debe de comprobar

cableado, ventanas y ventilación que estén en perfectas condiciones de acuerdo a
lo planteado en dicho plan.
o Áreas de acceso público de carga y descarga. Comprobar accesos al
embarcadero y la seguridad en la zona estanca.
o Seguridad de los equipos. Se debe comprobar que estén libres de polvo,
suciedad y otros elementos perjudiciales. Comprobar el sistema de acceso
mediante tarjeta inteligente y los dispositivos extraíbles. Comprobar el software
de seguridad, aplicaciones y sistema operativo.
Del plan de seguridad en comunicaciones
o Copias de seguridad. Comprobar que los procedimientos se efectúan de acuerdo

con la normativa. Que cada copia de seguridad se encuentran en un lugar seguro.
o Gestión de la seguridad de las redes. Se debe comprobar el perfecto
funcionamiento de los controles de redes. Comprobación del todos los firewall,
de las reglas de tráfico y de los dispositivos UPS/UDS.
147
Del plan de seguridad en control de acceso:
o Control de acceso a la red. Se debe de comprobar el registro de acceso a la red,

la seguridad en el servidor de acceso, los casos de acceso no autorizado…etc.
o Control de acceso en aplicaciones y a la información. Comprobar el servidor de
aplicaciones, que no haya ninguna aplicación no autorizada por el plan de
aplicaciones en los equipos de trabajo. El acceso y registro de los servidores de
base de datos.
Del plan de seguridad en sistemas
o Controles criptográficos. Comprobar el software criptográfico, los accesos a los

servidores de generación de certificados y generación de claves. Comprobar la
comunicación entre autoridad de registro y autoridad de validación.
o Seguridad en ficheros del sistema, comprobar código el código fuente de los
programas y los datos de pruebas.
Del plan de seguridad en gestión de riesgos
o Continuidad del negocio y evaluación de riesgos. Comprobar que funcionan los

procedimientos de continuidad del negocio a través de un simulacro controlado.
Del plan de seguridad en datos
o Protección de los documentos de la organización. Comprobar que el acceso a

bases de dato y backups. Comprobar el nivel de seguridad de los ficheros y sus
modificaciones y accesos.
o Protección de datos y privacidad de la información personal. Comprobar que los
ficheros estén registrados en la RGPD. Comprobar que funcionan los
mecanismos de encriptación.
o Cumplimiento de las normas y políticas de seguridad. Comprobar que la
jerarquía de privilegios no ha sido violada por ningún usuario. Comprobar los
métodos de prevención contra riesgos laborales. Comprobar que se cumple con
las medidas de seguridad en ficheros descritos en la LOPD. Comprobar que se
cumple la política de seguridad de la empresa y se cumple con el código de
conducta.
148
12.4 Supervisión
Registro de Auditorías
Revisión
PK Identificador
Fecha de Revisión
Valoración
Revisión Ficheros Revisión Instalaciones Revisión Software

Revisión Procedimiento
PK Clase PK Clase PK Clase
PK Clase
Nivel de Seguridad Protección contra incendio Decisión

Operativo Protección contra inundaciones Operativo
Desarrollo Acceso no autorizados
Modificaciones no autorizadas Tallas recomendadas Ofimático
Gestión Tallas reales Deficiencias
Deficiencias Encriptado
(57) Registro de auditorias
El registro de auditorías es una labor altamente recomendable. Con este fin se puede
conseguir un historial que puede ser de gran utilidad para la mejora del sistema de
auditorías o para la recopilación de evidencias en caso de infracción de la política de
seguridad.
El registro está compuesto de 4 revisiones principales: Procedimientos, Ficheros,

Instalaciones y Software. Dichas revisión heredan de una principal llamada revisión que
representará el informe final de la auditoria. La revisión de procedimientos puede ser
operativa y/o de desarrollo y/o de gestión, también se incluirán las deficiencias que se
hayan podido encontrar. La revisión de los ficheros incluye nivel de seguridad, si ha
habido accesos o modificaciones no deseadas. La revisión de las instalaciones con la
medición de las medidas recomendadas y las reales. Y por último el software donde se
especificará si esta actualizado y si tiene algún fallo de programación.
Supervisión de uso del sistema
El sistema de auditorías debe de ser supervisado por un superior, los informes relativos
a las auditorias deberán de estar firmados por el jefe del departamento de seguridad y el
director operativo.
Al encargado de auditorías no se le permitirá el uso indebido de los recursos que se le

asignen. Además no podrá desvelar ninguna información sobre las auditorias a
excepción del jefe de seguridad y director operativo, por lo que tendrá que firmar un
contrato de confidencialidad.
149
Revisión independiente de la seguridad de la información
La labor de auditoría es la revisión de los controles del sistema de seguridad para la

información. Cuando el que tiene que revisar dichos controles es la persona que los ha
instalado y su correcta funcionalidad esta a su cargo, surge un conflicto de intereses.
Para evitar esta situación, se recomienda la utilización de auditorías externas.
Hay numerosas empresas que se dedican a la auditoria, sobre todo en los temas
referentes a la LOPD. Cuando se subcontrata a una empresa se debe de seguir una serie
de pasos para que no se comprometa la seguridad de la organización. En primer lugar, la
empresa a la cual se le contrate servicios de auditoría debe de estar avalada por algún
organismos por ejemplo AENOR. También debemos obligar a la empresa contratada
que firme un contrato de confidencialidad con el fin de que no se revelen secretos de
empresa.
Protección de la información de los registros
La protección de los registros ya sean de auditoría, de usuarios, de monitorización o

ficheros deben de tener una protección especial. La manipulación de los mismos por
parte de personal no autorizado supone una vulnerabilidad en el sistema de información
de la organización. Con el fin de evitar esto se propone seguir una serie de pasos para
asegurar la seguridad de los mismos:
o Identificación
Todos los formatos de registros deben de tener un código de identificación propio e

inequívoco. La asignación la realizará personal del departamento de seguridad con la
supervisión del director operacional. Los ficheros que contengan los registros
almacenados deberán también ser identificados y con un sistema de encriptación. Una
copia de los mismos, debe de estar en el servidor de monitorización (véase plan de
seguridad en control de acceso).
o Retención
Los registros deben ser retenidos por el jefe de departamento de seguridad; durante un
periodo mínimo de 20 días después de su actualización en cada auditoria.
o Distribución y recuperación
En los servidores se conservarán los registros que sean necesarios para la actividad
laboral. Los demás registros serán restablecidos una vez finalizado el proceso de
auditoría.
150
Registros de administración y operaciones
Los procedimientos de administración quedan registrados en el servidor de base de

datos. Cada vez que un archivo es modificado se registra en el servidor de
monitorización. Las operaciones de red son controladas por el sistema de firewall una
vez realizado una transmisión. Estas quedan registradas en el registro de actividad de
red, que a su vez es enviado al servidor de monitorización.
Registros de fallos
La tarea de auditoría es cíclica tal y como se expone en el primer punto. Los fallos en el
sistema suponen una vulnerabilidad importante que debe de ser revisada. Y debe de ser
planteada en la fase de mejoras de las técnicas de auditorías.
Los fallos en el acceso al sistema quedan registrados en el servidor de acceso. Si algún

usuario no autorizado intenta acceder al sistema este queda registrado en el servidor de
acceso.
Los fallos de sistemas operativos son enviados a través del protocolo ICMP (véase plan
de seguridad en comunicaciones). Dichos fallos deben de ser revisados en el plan de
vulnerabilidades y tomar las medidas recomendadas por el fabricante (para ello sería
recomendado revisar los exploits de fabricantes).
Sincronización de reloj
La sincronización de relojes es una labor muy importante para las trasmisiones entre
servidores. Las causas de una falta de sincronización pueden producir retardos de
propagación de los mensajes que produzcan fallos entre los programas cliente- servidor.
Por ese motivo es conveniente revisar el servicio UTC. Para ello es necesario realizar
una prueba entre servidores y una prueba entre servidor y clientes. Una vez realizado las
pruebas serán registradas en el registro de auditorías.
151
Plan Económico Javier Ruiz-Canela López
13 PLAN ECÓNOMICO

Propósito
Una vez definido los planes que engloban la arquitectura de seguridad, hay que darle
una valoración económica para poder estudiar su viabilidad. Para ello se desea exponer
un plan de gestión para la implantación de la seguridad. En dicho plan consta de tres
niveles: Básico, Estándar y Avanzado. Cada uno de esos niveles se corresponde con la
aplicación de la arquitectura de seguridad a un 30%,50% y 100% respectivamente. El
punto en común de todos estos niveles es que tendrán un estudio de la política de
seguridad.
Alcance
El plan económico que se expone a continuación está pensado para la pequeña y

mediana empresa en el ámbito español. Es decir, para empresas de 50 a 1000 empleados
con un proceso de producción o de gestión informatizado.
Objetivos
La exposición de forma detallada de los detalles organizativos y económicos del

desarrollo de la arquitectura de seguridad, es el principal objetivo de este plan. Para ello,
se debe de cumplir con los siguientes puntos:
o Definición de los límites operativos del proyecto.

o Definición de una jerarquía organizativa y de sus principales roles.
o Definición de las fases del proyecto, costes, responsables y duración de cada uno
de ellos.
o Exposición de los costes materiales.
o Exposición de los costes humanos.
o Exposición de costes indirectos y de contingencia.
13.2 Asunciones y Restricciones
Para la implantación de este plan se asumen las siguientes restricciones y asunciones:
o La empresa tiene su ubicación física y jurídica en territorio español.

o La empresa dispone de las medidas mínimas de seguridad recogida por la ley de
prevención de riesgos laborales [LPRL96].
o La empresa dispone de una infraestructura computacional mínima. Es decir un
25% de su necesidad en gestión y/o desarrollo computacional*. Esto incluye los
siguientes elementos: Ordenadores, routers, conexiones telefónicas, cableado.
o La empresa dispone de una estructura organizativa clara: Comité directivo,
gerente, niveles de empleados…etc.
o La duración total del proyecto será de 10 meses, variando la cantidad de recursos
según las necesidades de cada empresa.
152
13.3 Organización
Organización Interna
La organización interna representa los distintos roles necesarios para el desarrollo de las
actividades del proyecto, e integrados en la estructura principal del proyecto son los
siguientes:
Director Proyecto
Jefe Proyecto Responsable V&V
Jurista Analista Técnico de Sistemas Programador Docente
(58) Organización Interna
Director Proyecto
o Aprueba el Plan de Proyecto

o Edita los documentos del proyecto
o Controla y realiza el seguimiento de los objetivos del proyecto
o Aprueba los informes de situación de proyecto
o Supervisa la estructura organizativa
o Supervisa la asignación de recursos del proyecto
o Apoya al jefe del proyecto en sus tareas
o Supervisa el cumplimiento de plazos y presupuestos autorizados
Jefe Proyecto
o Lleva el control del Proyecto y realiza los informes de seguimiento

o Lidera y motiva al equipo de trabajo
o Coordina el trabajo de la subcontrata de servicios de construcción con el trabajo
del equipo del proyecto
o Lidera el equipo de trabajo para producir el plan de tareas del siguiente
Analista
o Participar el desarrollo del Plan de Gestión

o Desarrollar el estudio sobre el plan de necesidades
o Desarrollar el diseño lógico y físico del perímetro de seguridad físico y lógico
o Desarrollar la política de seguridad de la empresa
153
Jurista
o Participar el desarrollo del Plan de Gestión

o Estudiar las necesidades jurídicas del proyecto
o Desarrollar la política de seguridad de la empresa
Técnico de Sistemas
o Implantación del perímetro de seguridad lógico

o Adaptación de los puestos de trabajo
Programador
o Desarrollar el software para el control de acceso

o Desarrollar el software para el control de red
o Desarrollar el software para la PKI
o Desarrollar el software para la monitorización de actividades
Responsable V&V
o Se encargará de verificar que el trabajo realizado cumple con todos los requisitos
del cliente así como los requisitos de calidad establecidos
o Validará el trabajo realizado
Docente
o Formar al personal sobre la estructura de la arquitectura de seguridad y la

política de seguridad
Organización Externa
La organización externa representa la relación otros roles necesarios pero intervinientes
indirectos en las actividades del proyecto.
Subcontrata de
Servicios de Jefe Proyecto Cliente
Construcción
(59) Organización Externa
Cliente
o Aprobar los requisitos iníciales del proyecto

o Participar como usuario en las pruebas del sistema
o Aprobar el producto final
Subcontrata de Servicios de Construcción
o Realizar la habituación de las zonas de seguridad

o Comprobar la seguridad de cableado, puertas, ventilación y sistema anti-
incendios
154
Asignación de Recursos
Como se menciono en el propósito del plan, este estudio económico está orientado a la
pequeña y medianas empresas. No obstante la diferencia de un proyecto de una pequeña
empresa varía en consideración con la mediana empresa. Para poder realizar un estudio
precioso debemos de dimensionar la cantidad de recursos humanos y mecánicos a las
necesidades de la empresa. Por ello se propone una asignación de recursos estándar para
tres rangos diferentes: proyecto pequeño esta asignación de recursos está pensada para
empresas de entre 50 a 100 empleados, proyecto mediano esta asignación de recursos
está pensada para empresas de entre 100 a 500 empleados y gran proyecto pensado para
empresas entre 500 a 1000 empleados. En el siguiente recuadro, representa la
asignación de recursos según el tipo de proyecto: (las cantidades de
RM2,RM3,RM4,RM5 son relativas dependiendo de la disponibilidad de recursos de la
empresa):
Proyecto Proyecto Gran

Identificador Pequeño Mediano Proyecto
Recursos Humanos
RH1 Director de Proyecto 1 1 1
RH2 Jefe de Proyecto 1 2 3
RH3 Analista 1 2 3
RH4 Programador 1 2 3
RH5 Jurista 1 1 2
RH6 Verificador V&V 1 2 4
RH7 Técnico de Sistemas 1 2 4
RH8 Docente 1 2 5
Recursos Materiales
RM1 Servidores 12 20 40
RM2 Ordenadores Fijos 18 62 187
RM3 Thin Client 75 375 750
RM4 Ordenadores portátiles 2 4 10
RM5 Cámaras de Video-vigilancia 7 16 32
RM6 Routers 1 2 5
RM7 Switches 2 10 20
RM8 Servidor Firewall 2 4 8
RM9 Bobina cable coaxial (30 metros) 1 2 5
RM10 Bobina fibra óptica (30 metros) 1 2 5
RM11 Cabina detectora de metales 1 1 1
RM12 Sistemas de Tarjetas Inteligentes 93 437 937
RM13 Licencias Software Security Suite 7 18 48
RM14 Sistemas RAID 1 2 3
RM15 IPS/IDS 1 1 2
(60) Recursos en unidades
Jefe de Proyecto* solo hay uno en cada proyecto, pero se contempla ayuda en los proyectos grandes
155
Planificación de actividades
En esta sección se muestra la estructura de actividades necesarias para el desarrollo del

proyecto; con todas las tareas del proyecto desde las tareas de gestión hasta las tareas
técnicas.
Implantación
de Arquitectura de Seguridad
WP-05
WP-02 WP-03 Implementación
WP-01 WP-04
Análisis de Diseño de del Perímetro de
Gestión Proyecto Programación
Requisitos arquitectura Seguridad Físico
WP-01-01 WP-03-01 WP-05-01

Reunión Diseño Instalación Control
Lanzamieno Interno principal
WP-01-02 WP-03-02 WP-05-02

Seguimiento Diseño Habilitación del
Proyecto Externo puesto de control
WP-05-03
WP-01-03 Habilitación del
PGP zona de
servidores
WP-05-04
Habilitación del
zona de carga y
descarga
WP-05-05
Instalación de
sistema de
videovigilancia
WP-05-06
Instalación de
sistema de control
de puertas
(61) Estructura de trabajo, parte 1
156
Implantación
de Arquitectura de Seguridad
WP-06
WP-07 WP-10
Implementación WP-08 WP-09 WP-11
Instalación Formación
del Perímetro de Pruebas Documentación Cierre
Estación Trabajo de Personal
Seguridad Lógico
WP-06-01
Instalación WP-07-01
Servidores Reinstalación
Ordenadores
WP-06-02
Saneamiento WP-07-02
Cables Configuración Red
Local
WP-06-03
Instalación de
Jerarquía de WP-07-03
Firewalls Implantación de la
PKI
WP-06-04
Instalación
Hardware de
acceso a Internet
WP-06-05
Configuración de
red
WP-06-06
Traspaso BBDD
WP-06-07
Migración Datos
Usuarios
WP-06-08
Puesta en marcha
(62) Estructura de trabajo, parte 2
Como podemos apreciar en los cuadros (61) y (62) la estructura de trabajo se compone
de 10 actividades raíz. Cada uno de estas actividades a su vez, se componen de sub-
actividades o actividades. A continuación se detallará la actividad de cada uno de estas
tareas; indicando según lo planeado en los planes para un proyecto de amplitud
pequeña.
157
WP-01 Gestión del Proyecto

Entradas
• Establecer el comienzo del proyecto, definir jerarquía organizativa y
planificación.
 Definir el plan de gestión del proyecto, incluyendo: objetivos,
Actividades
planificación detallada, control del proyecto y calidad…etc.
 El Jefe de Proyecto debe de realizar un seguimiento de todas las
actividades del proyecto.
Salidas Plan de Gestión del Proyecto
Responsable: Jefe de Proyecto
Gestión horas/hombre:2419
Duración: 227 días
WP-02 Análisis de Requisitos

Entradas Plan de Gestión del Proyecto
• Realizar un inventario de activos, estudio de vulnerabilidad, estudio de
Actividades necesidades computacionales y reglas de negocio.
Estudio de análisis de Requisitos

Salidas Plan de seguridad para análisis de riesgos
Responsable: Analista
Duración: 15 días
WP-03 Diseño de Arquitectura

Entradas Estudio de análisis de Requisitos
• Realizar el diseño interno de la arquitectura, indicando procesos y
relaciones entre procesos.
Actividades
 Realizar el diseño externo de la arquitectura, indicando detalles de la
estructura de cada proceso.
Diseño interno del perímetro físico
Diseño externo del perímetro físico
Diseño externo del perímetro lógico
Salidas Diseño interno del perímetro lógico
Responsable: Analista
Duración: 30 días
158
WP-04 Programación
Diseño interno del perímetro lógico
Entradas Diseño externo del perímetro lógico
• Desarrollo del software necesario para apoyar la infraestructura de
clave pública.
Actividades
 Desarrollo del software necesario para la monitorización de actividades
en BBDD, correo, actividades de red y acceso.
Kit de programas para la PKI
Kit de programas para monitorización de actividades
Manual de Usuario
Salidas Manual de Programación
Responsable: Programador
Duración: 50 días
WP-05 Implementación del perímetro de seguridad físico

(WP-05-05 y WP-05-06) Diseño interno del perímetro físico
Entradas (WP-05-01:WP-05-04) Diseño externo del perímetro físico
• Habituación de las zonas de seguridad
 Revisión de ventilación y mecanismos contra incendios e inundaciones
Actividades
 Instalación del sistema de video-vigilancia
 Instalación del control de puertas
Salidas Plan de Seguridad del ambiental y seguridad física
Responsable(WP-05-01:WP-05-04): Jefe de Proyecto
Responsable(WP-05-05 y WP-05-06): Técnico de Sistemas
Gestión
horas/hombre:480
Duración: 50 días
WP-06 Implementación del perímetro de seguridad lógico

• Saneamiento de los cables
Actividades
 Instalación de Servidores, firewall e infraestructura de red
Plan de Seguridad en control de acceso
Plan de Seguridad del perímetro lógico
Salidas Plan de comunicaciones
Responsable: Técnico de Sistemas
Responsable (WP-06-02): Jefe de Proyecto
Gestión
horas/hombre:1568
Duración: 59 días
159
WP-07 Instalación de Equipo de trabajo

Kit de PKI
Entradas Kit de monitorización de actividades
• Reinstalar ordenadores con: el Kit de PKI, Kit de control y security suite
Actividades
 Configurar infraestructura PKI y red local
Salidas Plan de Seguridad en Sistemas
Responsable: Técnico de Sistemas
Duración: 60 días
WP-08 Pruebas
Entradas Plan de Seguridad para análisis de riesgos
• Realizar pruebas de acceso y manipulación de ficheros
Actividades
 Realizar pruebas de hacking: escaneo de puertos, DoS, virus…etc
Salidas Informe de Pruebas
Responsable: Verificador V&V
Duración: 30 días
WP-09 Documentación
Plan de Seguridad para análisis de riesgos
Plan de Seguridad en comunicaciones
Plan de Seguridad en sistemas
Manual de Usuario
Plan de Seguridad del ambiental y seguridad física
Plan de Seguridad en control de acceso
Entradas Plan de Seguridad para perímetro lógico
• Establecer un la política de seguridad de la empresa, incluyendo plan de
Actividades continuidad, auditorías, personal y código disciplinario y ético.
Salidas Política de Seguridad de la empresa

Duración: 30 días
160
WP-10 Formación del Personal

Entradas Manual de Usuario
• Enseñar el funcionamiento de la arquitectura de seguridad al personal
Actividades para el desarrollo de la actividad diaria.
Salidas
Responsable: Docente
Duración: 15 días
WP-11 Cierre
• Saneamiento de los cables
Actividades
 Instalación de Servidores, firewall e infraestructura de red
Salidas
Duración: 59 días
161
Duración
En el siguiente diagrama de Gantt se puede ver una distribución de las tareas en 10

meses. Después de cada actividad principal (barra negra) se encuentra un punto de
control (rombo).
(63) Gantt de Tareas
162
La siguiente tabla muestra la distribución de las tareas del proyecto según la actividad
de cada rol para un proyecto pequeño. La duración total es de 7656 horas en 229 días.
Las tareas en gris son outsourcing por lo que no se contabilizan.
Director del Jefe de Técnico de Verificador Totales

Tareas/Rol Proyecto Proyecto Analista Programador Sistemas V&V Docente Jurista Horas Días
WP 01-01 40 40 40 40 160 5
WP 01-02 1656 1656 207
WP 01-03 120 120 120 120 120 600 15
WP 02 240 240 15
WP 03-01 240 240 15
WP 03-02 240 240 15
WP 04 400 400 50
WP 05-01 5
WP 05-02 5
WP 05-03 5
WP 05-04 5
WP 05-05 240 240 15
WP 05-06 240 240 15
WP 06-01 240 240 15
WP 06-02 5
WP 06-03 240 240 15
WP 06-04 80 80 5
WP 06-05 480 480 30
WP 06-06 240 240 15
WP 06-07 240 240 15
WP 06-08 48 48 3
WP 07-01 480 480 30
WP 07-02 240 240 15
WP 07-03 240 240 15
WP 08 240 240 30
WP 09 240 240 240 720 30
WP 10 120 120 15
WP 11 16 16 32 2
Totales 176 1832 1120 400 3128 240 360 400 7656 612
(64) Horas/Hombre del proyecto
163
13.4 Costes
Los costes de la implantación del proyecto están expuestos en el cuadro (64). Los
recursos humanos están calculados según las horas obtenidas en el cuadro (65).
Proyecto Proyecto
Identificador Recursos Pequeño Mediano Gran Proyecto Euros/hora
Recursos Humanos
RH1 Director de Proyecto 176 176 176 50
RH2 Jefe de Proyecto 1832 3664 5496 40
RH3 Analista 1120 2240 3360 30
RH4 Programador 400 800 1200 20
RH5 Jurista 400 400 800 30
RH6 Verificador V&V 240 240 960 30
RH7 Técnico de Sistemas 3128 6256 12512 20
RH8 Docente 360 720 1800 20
Recursos Materiales Precio Euros
RM1 Servidores 12 20 40 200
RM2 Ordenadores Fijos 18 62 187 400
RM3 Thin Client 75 375 750 100
RM4 Ordenadores portátiles 2 4 10 900
RM5 Cámaras de Video-vigilancia 7 16 32 60
RM6 Routers 1 2 5 50
RM7 Switches 2 10 20 60
RM8 Servidor Firewall 2 4 8 600
RM9 Bobina cable coaxial (30 metros) 1 2 5 40
RM10 Bobina fibra óptica (30 metros) 1 2 5 100
RM11 Cabina detectora de metales 1 1 1 3000
RM12 Sistemas de Tarjetas Inteligentes 93 437 937 40
RM13 Licencias Software Security Suite 7 18 48 80
RM14 Sistemas RAID 1 2 3 500
RM15 IPS/IDS 1 1 2 2000
Subtotal 243.250 496.440 917.970
Costes Indirectos
CI1 Contingencia 10% 24.325 49.644 91.797
CI2 IPC 0,06% 14.595 29.787 55.079
CI3 Outsourcing 6.000 12.000 24.000
CI4 Material de desarrollo 127.584 238.368 415.488
Cl5 Gastos Varios 21.264 39.728 69.248
Cl6 Seguro Social 42.528 79.456 138.496
Cl7 Material de oficina 21.264 39.728 69.248
Coste del Proyecto
Total + Contingencia positiva 500.810 985.151 1.781.326
Total + Contingencia negativa 452.160 885.863 1.597.732
(65) Tabla de costes en euros
164
13.5 Implantación
La implantación del plan no tiene porque incluir todas las medidas de seguridad
descritas en el proyecto. De esa idea surge la creación de distintos planes de adaptación:
adaptación al 30%,50% y 100% (65). No obstante, todos los planes deben de cumplir
unos mínimos medidas de seguridad para poder cumplir con la legislación vigente.
Todos los planes incluyen la adaptación de los ficheros a la LOPD, creación de una
zona centralizada de servidores y la redacción de una política de seguridad.
El plan de adaptación total incluye todos los recursos (66) y actividades del plan de
implantación (61) (62). La adaptación del sistema de información con medidas de
seguridad debe de incluir una monitorización constante. Para ello, está previsto que la
empresa distribuidora de los servicios de seguridad provea de un equipo de
monitorización. El equipo de monitorización para el plan de adaptación estará
compuesto por un técnico de sistema, un programador y un vigilante de seguridad
(puesto de control central y video-vigilancia). Los gastos del servicio de monitorización
no deben de ascender de los 6000 euros mensuales.
El plan de adaptación al 50% incluye la reducción de las actividades de la implantación

del sistema físico de seguridad y la de formación al personal (WP-05,WP-10). Se
prescinde de la utilización de cámaras de video-vigilancia, la compra de ordenadores
fijos y portátiles y la cabina de detección de metales (RM11,RM2, RM4,RM5). En la
monitorización, el equipo de prescindirá de la utilización de un guarda de seguridad, por
lo que los gastos de monitorización se reducen a 3000 euros mensuales.
La adaptación del plan al 30% supone la reducción del anterior plan más la eliminación
de la infraestructura de tarjetas inteligentes (WP-07-03) (sustituidas por claves de
sesión). Del mismo modo, los recursos se reducen aun más, se omiten de uso los Thin
Client, el sistema de tarjeta y la compra de servidores se reduce a la mitad
(RM3,RM12,RM1). La monitorización por lo tanto no tiene porque ser tan exhaustiva,
con un programador será suficiente. Los gastos de monitorización serán de 1500 euros
mensuales.
Proyecto Proyecto Gran

Implantación pequeño Mediano Proyecto
Al 30% 414.972 767.469 1.299.646
Al 50% 439.748 854.302 1.476.235
Al 100% 500.810 985.151 1.781.326
(66) Tabla de precios en euros
165
Conclusiones Javier Ruiz-Canela López
14 CONCLUSIONES
La ciencia de la información ha revolucionado nuestra concepción del mundo. Es tal el

cambio que se ha generado que las fronteras de los países quedan como una absurda
ilusión en un mundo; donde a través de internet una persona puede conseguir todo lo
que quiera. Este salto cualitativo del mundo de las comunicaciones y la computación,
que han creado la base de la gestión de las corporaciones del futuro e incluso el núcleo
de sus productos y servicios. No obstante como toda nueva tecnología, esta tiene dos
caras. Del mismo modo que la energía nuclear se puede utilizar para proporcionar
electricidad, esta también puede ser utilizada para la creación de armas de destrucción
masiva. La tecnología de las comunicaciones puede ser utilizada para facilidad las
labores de gestión de la empresa; pero también puede ser utilizada para robar números
de tarjetas de crédito, atracar bancos o cyber-terrorismo. Las compañías deben de darse
cuenta de ese peligro.
Es curioso como en el mundo de la informática se extrapolan comportamientos

humanos a mecanismos computacionales. Por ejemplo, a la persona que ataca un
sistema se le llama pirata, y este lo hace como los antiguos piratas a través de un puerto.
En el desarrollo de las medidas de seguridad, se llega a la conclusión que la principal
vulnerabilidad en un sistema es el factor humano. Por ello, tener un conocimiento
profundo del comportamiento humano además de las tecnologías garantizará el éxito del
diseño de una arquitectura de seguridad.
La tecnología de seguridad actualmente en el mercado proporciona sistemas inteligentes

de detección y prevención de ataques informáticos. No obstante, el uso inadecuado de la
misma produce una sensación ficticia de seguridad. Un diseño de seguridad debe de ser
detallado y minucioso. Aunque en este proyecto no se haya podido profundizar en cada
una de las tecnologías existentes debido a su carácter generalista; si se dan los
procedimientos para hacer un buen uso de las mismas. Con ello se da el objetivo de
crear un sistema seguro pero que a su vez tenga una simbiosis con la fiabilidad,
flexibilidad y portabilidad del sistema. Sin que para ello se tenga que gastar una ingente
cantidad de dinero en ello.
Por todo esto no solo se ha querido dar una serie de soluciones organizativas y
tecnológicas en este proyecto. La gestión de la seguridad no es una ciencia exacta y por
ello no solo hay que crear un sistema de seguridad sino también mantenerlo y
mejorarlo; para poder hacer frente a las nuevas amenazas que puedan surgir. A raíz de
esa idea, ha sido objetivo en este proyecto crear una conciencia social sobre el uso
correcto de la seguridad, pues como dice el dicho: “es mejor prevenir que curar”.
166
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
15 ANEXO A: ESTUDIO DE AMENAZAS
Los ataques informáticos o cyber-ataques están a la orden del día, en el mundo se

generan cientos y cientos de vulnerabilidades. La mayoría de dichos ataques son
causados por Malware. Malware es una contracción de Maligno y Software. Indica, de
forma genérica, programas o códigos dañinos, ya sea por destrucción de datos o por
consumir recursos del sistema. Son ejemplos de Malware los virus, caballos de Troya,
gusanos… etc.
Las empresas tienen que darse cuenta del enorme riesgo que representan estos ataques.
Pues son hacia ellas a las que van dirigidos la mayoría de los ataque. En un principio el
acceso no autorizado a un sistema se consideraba como un tipo de divertimento siendo
su objetivo simplemente lúdico y de reconocimiento social. Pero los últimos años este
tipo de ataques han tomado un rumbo delictivo al querer obtener un beneficio
económico, un ejemplo de dicho ataque es el Phishing, que explicaremos más adelante.
La Consultora “Ernst and Young” que engloba a más de mil empresas, demostró que un
20% de sus pérdidas financieras fueron como consecuencia de intromisiones en sus
sistemas de información. (Véase. Technology Review, Abril 02, pg.33).
Para poder realizar soluciones fiables a los problemas de seguridad que se plantean, y
poder proteger la información confidencial de la empresa, hay que analizar estos tipos
de ataques. Saber cómo se generan, como actúan y cómo podemos combatir este tipo de
ataques es una tarea fundamental para la seguridad de la empresa.
El objetivo de esta sección, es un completo estudio de dichos ataques. Se Analizará su

procedencia, sus pautas de actuación y su capacidad dañina. Así como se analizará un
caso particular de cada ataque y se sacará conclusiones de cada tipo de ataque.
Pero la pregunta que muchas veces se plantea en una empresa es porque debemos
tomarnos en serio dichas amenazas. Según un estudio realizado por el centro de cyber-
crimen del FBI [FBI07] los ataques informáticos se incrementan exponencialmente cada
año (67). Llegando a causar miles de millones de dólares en pérdidas para las empresas
afectadas. En Junio de 2001, un cyber-ataque provocado por el llamado “Code-Red”
infecto más de 350.000 servidores Microsoft. En enero del 2003, otro cyber-ataque
provocado por el llamado “Slammer” dejo sin servicio a cerca de 75.000 ordenadores. Y
más recientemente en el 2008 el llamado “Conficker” infecto a más de 20 millones de
ordenadores en todo el mundo.
167
En dicho estudio se establece cuales son los diferentes tipos de amenazas

encontradas. Dicha información proviene de denuncias hechas por cerca de 24,000
organizaciones de 10 ciudades americanas en 2005.
En la Figura 2, se encuentra representado por grado de incidencia los principales

ataques sufridos por dichas organizaciones. En primer lugar podemos observar cómo un
60 % de dichos ataque son causados por ataques de Virus/Troyanos. Un 20% es
producido por ataques de Denegación de Servicio. La penetración en sistemas es sufrida
por un 10% de las organizaciones, las técnicas más utilizadas son el Buffer Overflow y
las inyecciones de SQL. Los fraudes financieros, ataques a webs este tipo de ataques se
agrupan en los llamados ataques de Ingeniería Social. Todos estos ataques se estudiarán
a continuación.
(67) Incidentes informáticos reconocidos cada año.
(68) Tipos de ataques y porcentaje de infección.
168
15.1 Malware
Como se definió anteriormente Malware es una contracción entre maligno y software.

En una definición un poco más académica nos referimos a Malware [Belto06] como la
abreviatura de “malicious software” el cual se refiere a los programas de software
diseñados para dañar o hacer otras acciones no deseadas en un sistema informático. En
la familia de los Malware nos podemos encontrar los siguientes tipos:
Categoría Definición
Malware
Virus Un virus es un software que se reproduce mediante la inyección de

copias de sí mismo en otros ejecutables o documentos.
Caballo de Troya Un caballo de Troya es un software que parece ser una aplicación
legítima, pero realiza la ejecución de acciones maliciosas
Gusano Un gusano es un software que es capaz de replicarse a través de una

red e infectar otros sistemas. Los gusanos vienen en muchas formas y
tamaños y pueden propagar muy rápidamente a través de una red
interna.
Dialer Un Dialer es el software que utiliza una conexión de módem de

teléfono lugar no autorizado llamadas. Los Dialers han existido desde
hace mucho tiempo y han sido históricamente utilizadas para generar
ingresos mediante la colocación de llamadas que se facturan a la
víctima.
Rootkit Un rootkit es un software que modifica un sistema operativo anfitrión

para ocultar archivos, procesos, uso de memoria y más. Los rootkits
son difíciles de descubrir y eliminar.
Keylogger Un keylogger es un software que registra las pulsaciones de teclado

de cualquier entrada por el usuario final y que almacena los datos
localmente, o transmite a través de una red a un tercero.
Adware Adware es software que presenta la publicidad para el usuario final.

Normalmente, este software se instala sin que el usuario final tenga
conocimiento y es a menudo difícil de eliminar
Spyware Spyware es un software que recopila información acerca de un

usuario final. Los datos que transmite a través de una red pública a
un tercero.
169
Categorías Definición
Malware
Hijacker Un hijacker es un software que toma el control del usuario final del
navegador web. Los hijackers se utilizan para una variedad de
propósitos. Históricamente, los hijackers se han utilizado para
generar ingresos por publicidad.
Toolbar Un Toolbar es un software que integra en sí mismo un usuario final

del navegador web. Normalmente, los Toolbars proporcionan una
mayor funcionalidad, pero también se puede utilizar para fines
maliciosos. Asimismo, un Toolbar puede funcionar como el adware,
spyware o un secuestrador.
(69) Cuadro categorías malware
Como se puede observar hay una gran variedad de tipos de Malware. En este estudio
nos centraremos en los Virus, Gusanos y Troyanos. Dicha elección se debe a que el
elemento más representativo de Malware es el Virus, y los Gusanos y Troyanos por ser
una evolución del Virus. Además si tomamos como referencia el estudió expuesto al
principio nos damos cuenta que la inmensa mayoría de los cyber-ataques de hoy en día
son provocados por Virus, Gusanos y Troyanos.
Después de esta exposición se expondrá un ejemplo de este tipo de ataque, para ello se
explicará el “modus operandi” del “Downadup”, también llamado “Conficker" o “kido”.
Un tipo de gusano que infecto a miles de maquinas Windows en 2008.
170
Virus
Un virus [Marc02] [Frei00] es un programa introducido subrepticiamente en la memoria

de un ordenador sin conocimiento o permiso del usuario. Se dice que es un programa
parásito porque el programa ataca a los archivos y se replica a sí mismo para continuar
su esparcimiento.
El origen de los virus se remonta a 1932, cuando el famoso científico matemático John
Louis Von Neumann, escribió un artículo, publicado en la revista científica de New
York, exponiendo su “Teoría y organización de autómatas complejos”, donde
demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el
control de otros, de similar estructura. Pero no fue hasta 1983, cuando el doctor Fred
Cohen demostraba como un programa era capaz de insertarse en otros. E incluso de
mucho antes, ya se conocía la forma práctica de invadir zonas de memoria, con el
desarrollo del denominado Core Wars; un pequeño programa implementado en los
laboratorios de la Bell Computer, subsidiaria de la AT&T.
La mayoría de los virus tienen fines malignos, ya que su objetivo es la destrucción de

información, obtención de datos o colapso del sistema. Pero un virus tendrá fines
malignos siempre y cuando su creador quiere que así sea. Un virus puede tener como
objeto su simple duplicación o reaparición en memoria, a este tipo de virus se les llaman
virus benévolos. Existe un libro llamado “It’s alive” y cuyo autor es el eminente doctor
Fred Cohen, en el cual dice “cualquier cosa que haga un programa no viral, puede
hacerla un virus de ordenador”. Esto nos plantea los beneficios que pueden llevar
consigo los virus. Su capacidad para infiltrarse en el sistema y de duplicación les hace
útiles para poder corregir vulnerabilidades en el sistema.
No obstante, nunca hay que olvidar la amenaza que puede representar un virus. Es
importante destacar que el potencial de daño de un virus informático no depende de su
complejidad sino del entorno donde actúa. La definición más simple y completa para los
virus dañinos viene dado por el modelo D.A.S y se fundamenta en tres características,
que se refuerzan y dependen mutuamente. Según ella, un virus El modelo también
distingue entre tres módulos:
 El módulo de reproducción se encarga de manejar las rutinas de

"parasitación" de entidades ejecutables (o archivos de datos, en el caso de los virus
macro) a fin de que el virus pueda ejecutarse subrepticiamente. Pudiendo, de esta
manera, tomar control del sistema e infectar otras entidades permitiendo se traslade de
una computadora a otra a través de algunos de estos archivos.
 El módulo de ataque es optativo. En caso de estar presente es el encargado
de manejar las rutinas de daño adicional del virus. En estas condiciones la rutina actúa
sobre la información del disco duro volviéndola inutilizable.
 El módulo de defensa tiene, obviamente, la misión de proteger al virus y,
como el de ataque, puede estar o no presente en la estructura. Sus rutinas apuntan a
evitar todo aquello que provoque la destrucción del virus y retardar, en todo lo posible,
su detección.
171
Los diferentes tipos de virus se clasifican según la infección al ordenador:
-Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin
-Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.
-Múltiples: Infectan programas y sectores de "booteo".
-Bios: Atacan al Bios para desde allí reescribir los discos duros.
-Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido
común.
Una vez que conocemos lo que es un virus, sus propiedades y los diferentes tipos de
virus que hay. Analizaremos el daño que puede producir ordenado en seis categorías:
Niveles de Efectos del daño

Daño
Son aquellos daños que no perjudica a la información del ordenador. Afecta al

Daños triviales funcionamiento de ciertos servicios secundarios del sistema operativo. Estos
virus son utilizados en forma de broma o juego.
Daños Virus que afectan a la memoria residente. En el peor de los casos, se aconseja
menores la reinstalación de los programas afectados.
El virus afecta a los componentes de la tabla de ubicación de archivos del disco

Daños
duro. El efecto producido nos obliga a la reinstalación del sistema operativo
moderados
mediante un backup.
La capacidad del virus para la replicación y ocultamiento es tan elevada, que la

Daños
utilización de backup queda inservible al encontrar copias del virus por todo el
mayores
disco duro.
En este caso la actuación del virus es gradual y progresiva, realizando cambios

Daños severos mínimos. Por esta propiedad es difícil su localización y la actuación del mismo,
no sabiendo si los datos en el sistema son correctos o no.
Unos programas tienen la capacidad de obtener la clave del administrador del

Daños sistema y pasársela a terceros. Esta propiedad es más representativa de los
ilimitados troyanos y los efectos reales son que un tercero puede crearse un usuario con
máximos privilegios en el sistema tomando control.
(70) Niveles de daño en virus
172
Caballos de Troya
Los ataques referentes a caballos de Troya o troyanos [Selo06] son una de las amenazas
más serias en la seguridad informática. El caballo de Troya es un virus informático que
infecta a un sistema a través de una red local o Internet, y cuyo objetivo es la de recabar
información o controlar el sistema para un tercero. Una de sus principales cualidades es
que pasa desapercibido como un programa benigno.
Según la mitología griega, el caballo de Troya fue utilizado como arma de guerra en la
batalla de Troya. En el interior de su estructura se escondían un batallón de soldados
que una vez introducido el caballo en la ciudad de Troya abrieron las puertas de la
ciudad para ayudar al ejército enemigo a tomar la ciudad. De ahí viene la definición de
este tipo de virus, pues las cualidades que representa se asemejan a las del caballo de
Troya de la antigüedad.
La forma más típica de infección por este tipo de virus es mediante la descarga de
software o archivos a través de Internet. Por ejemplo, cuando un usuario quiere bajar
archivos de música o películas a través de Internet desde algún lugar poco fiable. En el
momento que ejecute la acción de descargar puede estar descargando un programa
parásito incluido en los archivos. Este programa puede enviar datos delicados del disco
duro, como puede ser contraseñas o números de tarjetas de crédito. O bien secuestrar la
maquina desde donde se realiza la transferencia de datos para realizar ataques de
denegación de servicio hacia un servidor. Este tipo de ataques afectan a todos los
sistemas operativos pero son más atacados los sistemas con Windows dado su
popularidad y expansión.
Gusanos
Los gusanos son la evolución más temible de los virus. Según los diccionarios
informáticos [Pand09] [More03], el gusano es un código maligno cuya principal misión
es reenviarse a sí mismo. Dado este hecho los gusanos tienen esa propiedad vírica que
en principio no afecta a la información de los sistemas que contagia, pero si consumen
gran cantidad de recursos de los mismos y los utilizan como lanzaderas para infectar a
otros sistemas.
A diferencia de la mayoría de los virus, los gusanos se propagan por sí mismos, sin
modificar u ocultarse bajo otros programas. Así mismo, y por su propia definición, no
destruyen información, al menos de forma directa. Pero claro, estas definiciones se
aplican a los gusanos como tales; algunos códigos de Malware son principalmente
gusanos, pero pueden contener otras propiedades características de los virus.
Una de las características de este tipo de códigos es, precisamente por su forma de
infección, que están enmascarados en un email que nos llega de una fuente bien
conocida. Alguien con quien mantenemos correspondencia o, al menos, que el remitente
la mantiene con nosotros.
173
El mayor efecto de los actuales gusanos es su capacidad para saturar e incluso bloquear
por exceso de tráfico a los sitios Web. Incluso si están adecuadamente protegidos por un
antivirus actualizado. Y precisamente cuando tienen protección aumenta la sobrecarga,
debido a los procesos necesarios para analizar e intentar la eliminación de una cascada
de correos en los que se detecta la infección.
Ejemplo de ataque Malware
En 24 de noviembre del 2008 la sociedad sufrió un ataque sin precedentes que afecto a
miles y miles de ordenadores. Dicho ataque fue provocado por un gusano llamado
“Downadup”. El “Downadup”* se propaga explotando la vulnerabilidad del Servicio de
Servidor RPC, el más común y que permite la ejecución de código de forma remota.
Los sistemas infectados son sistemas informáticos de infraestructura Windows, es decir
Windows 95/98/Me/NT/2000/XP/Vista y Server 2003. Este virus esta desarrollado en
Assembler, es decir lenguaje ensamblador un lenguaje de bajo nivel que permite
acceder al ordenador desde la capa de sistema más baja.
La propagación de este virus se realizaba en un principio a través del Servicio RPC
(CVE-2008-4250 ), problema que fue solventado por Microsoft (boletín MS08-067).
Pero más adelante utilizo formas alternativas de propagación. Con la utilización de
fuerza bruta intentaba acceder a las carpetas compartidas de Microsoft con contraseñas
débiles. Para ello, guardaba una copia de sí mismo y creaba un fichero autorun.inf, para
cuando el usuario accedía a la carpeta. Otra forma de infección que está muy al día es a
través de dispositivos extraíbles. Guardaba una copia de sí mismo en el autorun.inf del
dispositivo extraíble, cada vez que el usuario accedía al dispositivo el gusano se
activaba.
Una vez entrado en el sistema se copiaba en el sistema, se copia en la siguiente ruta:

%System%\ [nombre_aleatorio].dll. Después accedía al registro de Windows, y se copia
en la ruta: [HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\netsvcs\Parameters] como un servicio Dll ("ServiceDll" =
"[Ruta_al_gusano]"). Con esto podría ejecutarse la próxima vez que se reinicie el
ordenador. Una vez ejecutado de nuevo el ordenador, el virus se activa y elimina todos
los puntos de restauración del sistema creada por el usuario. Con esta acción impide que
el usuario lo elimine con una restauración del sistema. Luego revisa redes externas
buscando explotar la vulnerabilidad del Servicio de Servidor RPC (MS08-067) y se
conecta a las URLs predeterminadas para obtener la dirección IP del sistema infectado.
Después el gusano creaba un servidor HTTP en el puerto TCP 80 u 8080 y envía esa
dirección a un sistema remoto. Si logra explotar la vulnerabilidad RPC, la computadora
remota se conectaba a ese URL y descargaba una copia del gusano.
174
De tal modo que cada sistema vulnerado podría propagar el gusano por sí mismo.
Seguidamente el gusano se conectaba a un router UPnP (plug & play), abría el puerto
TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway),
permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.
Uno de los principales problemas que tiene Downadup es que es fácilmente

identificable por las casas de antivirus. Aun así no hay que despreciar su capacidad
destructiva, un Conficker podría provocar daños de nivel 6 (véase. sección Virus)
debido a su capacidad para crear un servidor HTTP en la propia maquina infectada. Si
un usuario inexperto con un antivirus sin un sistema de actualización al día, podría
sufrir la infección con este tipo de virus. Y si además este usuario utiliza el ordenador
de una empresa, podría estar poniendo en peligro toda la seguridad de sistemas de
información de una empresa.
175
15.2 Buffer Overflow
El Buffer Overflow [Ogor02] o “desbordamiento del buffer” es una técnica cracker

“criminal hacker” que ocurre siempre en los programas que no controlan la cantidad de
información que entra al sistema provocando un desbordamiento en el buffer de
memoria. Esto permite a los crackers sobrescribir información de control y tomar el
control del programa para ejecutar código maligno.
Uno de los problemas añadidos de este tipo de ataques es que la mayoría de la gente
tiene una idea vaga sobre lo que significa los ataques de desbordamiento del buffer. En
esta sección se pretende enseñar el mecanismo con el cual los crackers utilizan esta
técnica. También hay que considerar el problema que estos mecanismos solo eran
disponibles a expertos por lo que se intentará utilizar un lenguaje sencillo para poder
explicarlo.
La mayoría de los programas escritos en lenguaje C, donde se presta más atención a la

eficiencia en el código que a aspectos de seguridad en la longitud del código, son más
susceptibles a este tipo de ataques. En efecto el lenguaje C presenta una potente
herramienta de programación pero muchas librerías de C trabajan con flujos de texto,
donde no está incluido un control de la longitud real del buffer donde se almacenan
estos flujos de texto.
El algoritmo para desbordar el buffer de manera efectiva es la siguiente:
1. Descubrir un código que es vulnerable a un desbordamiento de buffer.
En los programas con un acceso restringido mediante usuario y contraseña. Utiliza un

formulario con dos textbox “cajas de texto” para introducir el identificador del usuario y
la clave de contraseña. En el caso de que esos dos campos de formulario no estén
debidamente protegidos, un ataque de desbordamiento del buffer podría acceder al
código del programa.
2. Determinar el número de bytes a ser lo suficientemente largo para sobrescribir la

dirección de retorno.
Los ataques de desbordamiento de buffer están orientados a programas cliente-servidor.

El control de las comunicaciones en este caso es crítico. La utilización de algoritmos
como SSL (Socket Security Layer) evita que agentes externos puedan captar
información protegida de transacciones a servidor.
3. Cálculo de la próxima dirección que señale el código.
Una vez rota la seguridad del servidor, el cracker puede acceder al código del
programa. En un programa web se utilizan direcciones para ir de una parte de programa
a otro. El cracker puede aprender la lógica del programa.
176
Ejemplo de ataque “Buffer overflow”
Para un mejor entendimiento de este tipo de ataque se adjunta lo que podría ser un
extracto de código de un ataque “Buffer overflow”. En este ejemplo observamos las
propiedades de un código de control en una aplicación. En este código existen tres
partes destacables. La entrada de la función main con una cadena de entrada llamada
“str” (en verde), la cual no tiene control de longitud. La copia a nivel local de la cadena
de entrada “str” a una variable local “cont” mediante la utilización de la función lccopy*
(en azul). Y la función de control if que no dejará entrar a código de acceso restringido
si la cadena “cont” no es igual a “CONTRASEÑA”.
#include <stdio.h>
void *lccopy(const char *str) {
char buf[BUFSIZE];
char *p;
strcpy(buf, str);
for (p = buf; *p; p++) {
if (isupper(*p)) {
*p = tolower(*p);
}
}
return strdup(buf);
}
int main(str)
{
char *cont=lccopy(str);
if(cont==”CONTRASEÑA”){ //Mecanismo de Control

//Código de acceso restringido ...
}
return 0;
}
(71) Ejemplo ataque buffer overflow
La función lccopy no tiene límites en su entrada, ya que espera una cadena la cual
depende en tamaño de BUFSIZE a nivel local. Un cracker podría pasarle una cadena de
entrada con un tamaño superior a BUFSIZE y literalmente reventar el código. En este
caso el resultado de buf seria totalmente distinto al esperado, paso 1 del algoritmo de
desbordamiento del buffer. El resultado de la ejecución de main sería que la pila de
ejecución a no entender la comparación entre “cont” y “CONTRASEÑA” saltaría a la
siguiente dirección de memoria. Es decir a “código de acceso restringido”, paso 2 del
algoritmo de desbordamiento del buffer.
Una vez accedido al código de acceso restringido solo tiene que aprender la información
de dirección para ese código y de esa forma acceder sin necesidad de realizar el
mecanismo de control, paso 3 del algoritmo de desbordamiento del buffer.
lccpoy* transforma letras minúsculas en mayúsculas
177
15.3 Inyecciones SQL
Las inyecciones SQL [MacV08] son un método de ataque hacia bases de datos a través
de múltiples hileras de infraestructura de aplicaciones. Los sistemas de prevención de
amenazas buscan patrones específicos que sean similares al código del Troyano Zebra.
El Troyano Zebra es un tipo de virus con el que se puede esconder consultas SQL
maliciosas detrás de las partes críticas en una aplicación atacada, es el prototipo de
ataque SQL. Pero los crackers usan la flexibilidad de los lenguajes de programación
para esconderse de los sistemas de prevención de amenazas.
Las aplicaciones de hoy en día, están diseñadas con parámetros con una gran
flexibilidad. Que por otra parte es requerida para muchos datos de entrada para soportar
la localización y variabilidad de los datos solicitados. Los algoritmos llamados
“signature matching” y “data scrubbing” son los primeros utilizados para la prevención
de ataques de inyección de SQL primarios porque dichos ataques son simples y usan
comandos SQL básicos para llevar a cabo sus ataques. Dichos algoritmos utilizaban
patrones para detectar datos maliciosos con el análisis de las tablas en base de datos que
podrían ser causa probable de destrucción o que contuvieran información sensible para
la empresa. Pero los crackers pronto encontraron la forma de evitar dichos algoritmos y
crear nuevos mecanismos con los cuales evitar dichos filtros y hacer más difícil su
detección.
El lenguaje SQL permite múltiples variaciones a la hora de construir sus comandos,

incluyendo el añadido de comentarios, espacios en blanco y permitiendo la codificación
en otros múltiples lenguajes de programación. Los crackers han aprendido a crear
troyanos que incluye ataques en forma de consultas SQL ocultas para poder entrar en la
infraestructura de cualquier aplicación de una forma relativamente fácil.
Como hemos dicho anteriormente, los sistemas de prevención utilizan patrones es decir
similitudes entre los ataques a través de la apariencia de estos con el Troyano Zebra.
Pero dichos ataques han evolucionado con el paso de los años y ahora las variantes de
los troyanos Zebra son muy diferentes unos de otros con lo que estos sistemas se quedan
obsoletos y virtualmente inútiles.
En algunas aplicaciones web al usuario se le da la posibilidad de poder almacenar

información en la base de datos, con tan solo rellenar un formulario. En dicho escenario
es donde aprovechan los crackers para modificar el código SQL de guardado de los
datos a su propio antojo. Con dicha modificación, el atacante puede guardar, añadir o
eliminar información vital para la empresa. Otra forma de ataque es a través de la
búsqueda, muchos crackers utilizan las órdenes de búsqueda no solo para obtener un
cierto historial, sino para obtener información asociada a dicho historial. O información
sobre usuarios que hayan realizado dichas consultas. Esto conlleva conseguir
información delicada de otros usuarios.
178
Ejemplo de Inyección de SQL
Como se comenta al principio los cracker utilizan las vulnerabilidades de SQL para
poder romper la seguridad de acceso. En el siguiente recuadro se muestra un control de
acceso típico de SQL.
Código:
$us=$_POST['usuario'];
$pass=$_POST['pass'];
$sql="SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'";
-- código largo cortado --
Código:
if(mysql_fetch_array($sql)){
echo "Inicio de sesión correcto"; // Esto fue modificado
}
(72) Ejemplo ataque SQL

Las variables “us” y “pass” se corresponden a usuario y contraseña recogidos de una
página web, mediante el método POST. La variable “sql” devuelve el resultado de la
querry SQL en la que se busca una pareja valida usuario y contraseña en la tabla
usuarios. La instrucción SQL “mysql_fetch_array” devuelve false en caso de que no
haya resultado en la querry SQL.
El problema del cracker es que necesita saber el usuario y contraseña para poder acceder
a la sesión. Pero qué pasaría si la instrucción “mysql_fetch_array” le pasaran una
sentencia SQL de este tipo:
$sql="SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'" OR ''''=''''
El resultado de esta consulta es independiente de user y pass, por lo que te devolvería un

resultado correcto. A efectos prácticos esto significa que el acceso a sesión está
garantizado saltándose la seguridad de control.
179
15.4 Denegación de Servicio
Un ataque por denegación de servicio [Shim03] [FBI07] es un incidente en el cual un

usuario u organización es privado de los servicios de los recursos que normalmente
esperan tener. Normalmente la perdida de servicio es la inhabilitación de una red
particular de servicio, tal como e-mail, que esta no disponible o temporalmente perdido
en la conectividad de la red y servicios.
Para entender lo que significa un ataque por denegación de servicio o comúnmente

llamado en inglés Denial of Service (DoS) hay que entender la naturaleza del mismo.
Muchas veces la percepción de un ataque por denegación de servicio es que su objetivo
es un servidor, pero esto no siempre es así. El objetivo fundamental de un ataque por
denegación de servicio es degradar el servicio, ya sea organizada por un solo servidor o
por toda una infraestructura informática.
Los ataques DoS no sólo proceden de los sistemas remotos, también a nivel local de la
máquina. Los ataques locales de DoS son generalmente más fáciles de localizar y
corregir los parámetros, porque el problema de espacio está bien definido. Aunque los
ataques DoS en sí mismos no generan un riesgo para los datos sensibles o
confidenciales, que pueden actuar como una herramienta eficaz para enmascarar otras
actividades más intrusivas que podrían tener lugar simultáneamente. En la confusión y
el caos que acompaña a los fallos del sistema y la integridad infracciones, con
experiencia en los crackers pueden deslizarse desapercibidas.
Muchos ataques DoS se realizan a través de una red, cuando el autor trata de sacar
provecho de la falta de seguridad integradas dentro de la iteración actual de Protocolo
Internet (IP), IP versión 4 (IPv4). Los crackers son plenamente conscientes de que las
consideraciones de seguridad han sido aprobadas a nivel superior los protocolos y
aplicaciones. Un intento de corregir este problema se ha traducido en IP versión 6
(IPv6), que incluye un medio de validación de la fuente de los paquetes y su integridad
mediante el uso de una cabecera de autenticación. A pesar de la mejora continua de la
propiedad intelectual es fundamental, no resuelve los problemas de hoy, porque IPv6 no
está en uso generalizado.
Los recursos son por su propia naturaleza finita. Invariablemente, la falta de estos
recursos da lugar a alguna forma de servicio de la degradación de la infraestructura
informática ofrece a los clientes. El consumo de recursos (y en este caso el ancho de
banda se considera un recurso) implica la reducción de los recursos disponibles,
cualquiera que sea su naturaleza, por medio de un ataque dirigido. Una de las formas
más comunes de ataque DoS es el ancho de banda de red. En particular, las conexiones
a Internet y los dispositivos son un objetivo primordial de este tipo de ataques debido a
su ancho de banda limitado y la visibilidad al resto de la comunidad de Internet.
Cuando un negocio se basa en la capacidad de servicio de las solicitudes de los clientes
con rapidez y eficacia, un ataque en el consumo de ancho de banda puede reducir la
eficacia en el servicio siendo un auténtico desastre para la empresa.
180
Modernos ataques DoS han sabido aprovechar el mundo de la distribución de varios

niveles en informática, son los llamados DDos “Distributed Denial of Service”. Dichos
ataques DDoS constan de dos fases distintas. Durante la primera fase, se captan
ordenadores a través de Internet e instala software especializado en estos hosts para la
ayuda en el ataque. En la segunda fase, los anfitriones en peligro, a que se refiere como
zombis, se conectan a través de intermediarios (llamados maestros) para iniciar el
ataque. Una de las diferencias significativas en el uso del software de control, es que
cada zombi se puede utilizar su propio ataque DoS sobre el objetivo. El efecto
acumulado de los zombis es abrumar a la víctima con grandes cantidades de tráfico o de
agotar los recursos, tales como conexión de las colas.
La estructura de apoyo a un ataque DDoS pueden ser muy complicado y puede ser
difícil determinar una terminología que describe con claridad. Pero tal vez podamos
ofrecer una aproximación de lo que podría ser un ataque DDoS común.
Componentes de software que participan en un ataque DDoS incluyen:
• Cliente: El software de control utilizado por los crackers para lanzar ataques. El cliente
se dirige a sus cadenas de comandos subordinados anfitriones.
• Demonio: Los programas de software se ejecutan en un zombi que recibe el cliente de
las cadenas de mando y actúa sobre ellos en consecuencia. El demonio es el proceso
responsable de la aplicación real del ataque detallado en el comando cadenas.
Ejércitos que participan en un ataque DDoS incluyen:
• Master: Un equipo de la que el software de cliente se ejecuta.

• Zombie: Un subordinado que ejecuta el demonio proceso.
• Objetivo: El destinatario del ataque.
Los ataque Dos representan una autentica amenaza para la seguridad de cualquier
aplicación web. Para llegar a una mayor comprensión de los ataques DoS se expondrá
un ejemplo real.
181
Ejemplos de ataque DoS
Internet
ADSL 10Mb ADSL 2Mb

Servidor de Datos Ordenadores Zombis Z1
S1
ADSL 10Mb
Servidor de Nombres DNS1
Maestro M1
(73) Esquema de relación de Servidores y Clientes en un ataque DoS
Supongamos que tenemos un servidor de Internet pequeño al cual lo llamaremos S1 y

una línea de comunicación con un ADSL típico de 10 Mb. También tenemos un
conjunto de ordenadores Zombis Z1 controlados por un tercero M1, con un ancho de
banda de 2 Mb que realizan consultas masivas al servidor S1. En cuanto más de 5
ordenadores zombis estén consultando a la vez al servidor S1, este se saturará. A este
tipo de ataque se le llama ataque por consumo de ancho de banda.
Los servidores tienen un límite de servicio en consultas dado por sus recursos finitos
(potencia de CPU, memoria etc). Esta vez añadimos un nuevo concepto para nuestro
ejemplo consultas/sesión. Las consultas/sesión son la cantidad de consultas que permite
un servidor dada una sesión. Supongamos que el valor es de 500 consultas/sesión para
nuestro servidor S1. Si cada ordenador zombi realiza 100 consultas por sesión, con tan
solo 6 ordenadores llegaremos a colapsar la capacidad de servicio del servidor. A este
tipo de ataque se le llama ataque por consumo de recursos.
182
Para la comunicación entre servidores y ordenador necesitamos un protocolo de

comunicación, el estándar para este tipo de comunicaciones es el protocolo RPC. Este
protocolo como tantos otros tiene definido una serie de tipos de mensajes en lo que se
llama como RFC (normas de definición del protocolo). Qué pasaría si el sistema de
comunicación de nuestro servidor S1 recibe un mensaje que no pertenece al protocolo
RPC desde alguno de los ordenadores zombis Z1. Esto provocaría una caída del sistema
por parte del servidor S1. A este tipo de ataques se le llama ataque por errores de
programación.
En la comunicación entre el servidor y clientes necesitamos lo que llamamos como

servidor de nombres. El servidor de nombres no es más que un intermediario que pone
en contacto al servidor que nos ofrece servicio. En nuestro ejemplo llamaremos a
nuestro servidor de nombres como DNS1 (DNS es el protocolo estándar para este tipo
de servidores en Internet).
Si conseguimos colapsar al servidor de nombres DNS1 con nuestros ordenadores

zombis Z1. Conseguiremos que se caiga el servidor de nombres, lo que a efectos
prácticos significa dejar descomunicado a nuestro servidor S1. A este tipo de ataques es
llamado como ataque DNS o de enrutamiento.
183
15.5 Ingeniería Social
Según el instituto SANS la ingeniería social es un eufemismo no técnico, el cual incluye

las mentiras, suplantaciones, trucos, sobornos, chantajes y amenazas para atacar los
sistemas de información. En un sistema de información hay tres componentes básicos,
hadware, software y wetware. El wetware se define como el factor humano en un
sistema. Los dos primeros sistemas si incluyen buenos y números sistemas de
encriptación son impenetrables. Pero con paciencia y conocimiento un cracker, usando
técnicas de ingeniería social y a través del engaño al wetware puede conseguir
información sensible que puede afectar a los sistemas de seguridad.
Existe un ciclo [Alle06] para este tipo de prácticas. Un patrón que ayuda a comprender
este tipo de técnicas. Están divididas en 4 campos: Recopilación de información,
Desarrollo de la relación, Explotación y Ejecución.
La Recopilación de información, se basa en una serie de técnicas para recopilar

información sobre su objetivo: listines telefónicos, organigramas corporativos...etc. Con
esta información el cracker intentará crear una relación con una víctima perteneciente al
wetware, con la intención de obtener un éxito en su ataque. El Desarrollo de la relación
implica explotación libre de la victima para crear una relación de confianza por parte del
cracker. Una vez conseguida se pasa a la fase de Explotación donde la victima será
manipulada para que revele información importante, este es el punto más difícil y
crítico del ataque. Una vez conseguida la información buscada por el cracker habrá
completado con éxito el ciclo y se dispondrá a la ejecución de la misma para sus fines
delictivos.
Hay una gran variedad de técnicas para ejecutar el ciclo anteriormente mencionado.
Todas estas técnicas están relacionadas con la falta de educación en seguridad que sufre
el wetware en un sistema de información. Las técnicas para la recopilación de
información son ilustraciones simples de lo anteriormente mencionado. Por ejemplo,
buscar contraseñas en cache, comprobar la basura en busca de información vital o
buscar entre sistemas de almacenaje de ordenadores viejos con el mismo fin. Este tipo
de técnicas son basadas en el factor humano y las relaciones interpersonales, no suelen
ser las más utilizadas pero hay que tomarlas en cuenta.
Otro tipo de técnicas son las basadas en los ordenadores y tecnología. La popularidad de
estas técnicas es mayor que las anteriores sobre todo por el factor de anonimato que
representa para el cracker. Se representa en la siguiente tabla un conjunto de estas
técnicas.
184
Técnica Definición
Por contacto El cracker intenta conseguir información vital a través de la
directo con manipulación directa de la víctima. El cracker se hace pasar por un
suplantación miembro de la organización normalmente de alto rango para
de identidad conseguir su objetivo. No suele ser usual pero es la forma más
sencilla.
Por contacto El cracker intenta conseguir información vital a través de la

indirecto con manipulación mediante e-mail con la víctima. El cracker se hace
suplantación pasar por un usuario que ha perdido su contraseña o por uno que
de identidad necesita asistencia técnica.
(Mail
Spoofing)
Ingeniería Un usuario legítimo está tentado a preguntar al cracker preguntas
Social Inversa para obtener información. Con este enfoque, el cracker se percibe
(RSE, siglas como de mayor antigüedad que el usuario legítimo, que es en
en inglés) realidad el objetivo.
Un ataque típico de RSE implica tres partes:
• Sabotaje: después de obtener un acceso sencillo, el cracker, ya sea

corrompe a la estación de trabajo o le da una apariencia de estar
dañado. El usuario del sistema descubre el problema y trata de buscar
ayuda.
• Marketing: con el fin de garantizar que el usuario se pone en

contacto con el cracker, el cracker se publicita dejando por ejemplo
su teléfono por toda la oficina o mandando un mensaje.
• Soporte: finalmente, el cracker podría ayudar con el problema,

asegurando que el usuario sigue siendo no sospechoso, mientras que
el cracker obtenga la información requerida.
Phishing Es una técnica de captación ilícita de datos personales
(principalmente relacionados con claves para el acceso a servicios
bancarios y financieros) a través de correos electrónicos o páginas
web que imitan/copian la imagen o apariencia de una entidad
bancaria/financiera (o cualquier otro tipo de empresa de reconocido
prestigio).
(74) Tipos de ataque de ingeniería social
Las técnicas de ingeniería social puede ser una amenaza para la seguridad de cualquier
organización. Como medida de seguridad profesional, es importante comprender la
importancia de esta amenaza y las formas en que puede manifestarse. Sólo entonces
podremos adecuadas que podrán ser empleadas y mantenidos de manera de proteger a
una organización sobre una base continua.
185
Utilizar de manera segura los servicios que brinda la tecnología disponible, es la mejor
opción, pero consciente de que el punto más vulnerable de un sistema de seguridad es
precisamente el factor humano.
Ejemplo de Ingeniería Social “Phishing”
A continuación se expondrá un ejemplo real sobre los efectos del Phishing. Este
ejemplo está basado en experiencias personales recogidas de foros de contactos. El
troyano llamado “Phisher.BH” tiene la capacidad de infectar el sistema de mensajería del
ordenador y enviar mensajes falsos haciendo pasar por uno de mis contactos. En este
tipo de ataque queda muy claro la maestría de las técnicas de ingeniería social con la
utilización de este troyano.
.
El objetivo de Phisher.BH es la de conseguir contraseñas y número de cuenta corriente
de sus víctimas. Para ello se hace pasar por su banco habitual y le insta a ir a una
dirección dada aludiendo a problemas técnicos. Para verlo con más detalle
observaremos un mensaje de este tipo de ataque.
(75) Ejemplo de ataque Phishing.
186
Este mensaje nos llega de una dirección de correo “Citi [ user-support8@citibank.com]”, la

cual se hace pasar por un miembro del equipo técnico del grupo bancario Citi. En el
mensaje piden a la victima datos bancarios a una dirección web dada en el mensaje.
Dicha dirección no es por supuesto el enlace a la página web de Citi, sino que lleva a
una página falsa con una apariencia idéntica. Si la victima introduce los datos pedidos
se los está dando a un criminal y el ataque habrá tenido éxito.
Si analizamos este tipo de ataque vemos que cumple con el ciclo de vida de la
Ingeniería Social. En primer lugar el troyano Phisher.PH recopila información sobre la
victima chequeando su correo en busca de información bancaria para preparar el
mensaje Phishing con apariencia real. También aprovecha para buscar en su agenda de
contacto otras posibles víctimas y expandir su actividad delictiva.
En segundo lugar intenta desarrollar una relación con la victima a través de un mensaje
personalizado. Personalizado pues este llega desde un banco habitual para el cliente. En
el mensaje se hace pasar por miembro del banco “usurpación de identidad”, con lo cual
intenta dar confianza a la víctima.
En el mensaje se le pide a la victima datos bancarios, esto es sin duda la fase de

explotación. Es decir una vez creada una relación de confianza, el cracker intenta
aprovecharse de esa confianza para conseguir información. Si la victima cree en dicha
confianza (es cuando interviene la vulnerabilidad del factor wetware) dará los datos
pedidos. En consecuencia el cracker utilizará esa información para su propio provecho
dando pie a la fase de ejecución y cerrando el ciclo.
187
15.6 Matriz de amenazas
Tipo de Ataque Peligrosidad Solución Propuesta

Malware Alta Utilización de un sistema de protección integral. Incluyendo
Antivirus, Antispam, Antispryware, firewall. El sistema debe
incluir lista de amenazas auto-actualizable y sistema de
prevención de nuevas amenazas. En mayor medida la utilización
de fireware, DMZ, auditorías internas y externas, crear un plan
de prevención y eliminación de riesgos y sistema de backups
para datos.
Buffer Baja  Soluciones aplicadas en desarrollo de aplicaciones a bajo

Overflow nivel.
Creación de un SDS (Software development Security). El SDS
debe impedir el uso de funciones peligrosas y la sobreescritura
de las mismas. También impedir qué código del atacante sea
ejecutado.
 Soluciones aplicacadas en desarrollo de aplicaciones a
alto nivel
Y por último una fase de testing y prevención de ataques contra
Buffer Overflow.
Inyecciones de Media  Soluciones aplicadas en desarrollo de aplicaciones a bajo
SQL nivel.
Uso de un gestor de base de datos que contemple medidas de
seguridad contra inyecciones de SQL. Con un sistema de
privilegios en acceso y cambio de datos. Encapsulamiento de
código y ejecución y verificación de sentencias SQL desde
servidor.
 Soluciones aplicadas en desarrollo de aplicaciones a alto

nivel.
Backups de datos importantes.
Denegación de Alta  Soluciones aplicadas en desarrollo de aplicaciones a bajo

Servicio nivel.
Uso del protocolo IPv5, el cual contempla medidas de control
contra ataques DoS.
 Soluciones aplicadas en desarrollo de aplicaciones a alto
nivel.
Uso de servidores de seguridad con autentificación y control de
sesión. Por ejemplo Kerberos.
Ingeniería Alta Educación y preparación para todo el personal que utilice o
Social intervenga en la aplicación con datos críticos.
(76) Matriz resumen
188
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
16 ANEXO B:
ESTUDIO DE INFRAESTRUCTURA DE CLAVE
PÚBLICA
El mundo empresarial está cambiando, hemos pasado de un sistema de compra-venta de

productos de forma directa a un mundo virtual donde las transferencias electrónicas han
jubilado la utilización del dinero en papel. Actualmente no se concibe que un banco
pueda prescindir de transacciones electrónicas y la mayoría de las empresas utilizan
transacciones electrónicas para sus operaciones comerciales. Es obvio que esto supone
un profundo cambio en los modelos de negocio, donde la información cobra un gran
valor.
Fair Information Practices (FIP) son un conjunto de principios propuesto por el

gobierno de Estados Unidos para garantizar la buena práctica y adecuada protección de
la privacidad en la información. Dichas prácticas se dividen en 5 principios
fundamentales de protección de la privacidad: comunicación, elección, acceso,
integridad y aplicación. La comunicación es el principio más fundamental, este nos dice
que el receptor de datos de carácter privado debe identificarse para la recepción de la
misma. El receptor también tiene derecho a saber la identidad de la entidad emisora y
tener la posibilidad de rechazar la información en caso contrario. El segundo principio
es la elección, el propietario de información de carácter personal debe poder elegir el
tratamiento de los mismos. De otra manera sería la forma en la cual esa información va
a ser utilizada por segundas o terceras personas. El acceso es el tercer principio básico.
Se refiere a la capacidad de un individuo para acceder a datos sobre sí mismo. Es decir,
para visualizar los datos en los archivos de la entidad. La Integridad nos plantea que los
datos deben ser exactos y seguros. Para garantizar la integridad de los datos, el receptor
debe adoptar medidas razonables, tales como el uso de fuentes de reputación de datos.
El último principio es el de la Aplicación, la cual nos dice que los demás principios
deben apoyarse en mecanismos para hacerlos cumplir.
Un mecanismo para poder garantizar que se cumple todos estos principios es la

encriptación de los datos. La encriptación es el proceso para volver ilegible información
considera importante. La información una vez cifrada sólo puede leerse aplicándole una
clave. Los servicios de seguridad básicos que proporciona la encriptación son la
autentificación, confidencialidad, integridad y el no Repudio. La Autentificación
asegura que el origen de la información es quien dice ser cumpliendo con el tercer
principio de la FIP, el acceso. La confidencialidad impide que la información sea vista
por quien no debe cumpliendo con el segundo principio de la FIP, la elección.
189
de Clave Pública
El no Repudio impide que alguien niegue haber realizado una transacción cuando
efectivamente la hizo cumpliendo con el primer principio de la FIP, la comunicación.
Para la aplicación de un sistema de encriptación de datos necesitamos una
infraestructura para la gestión de la misma. En esta sección se expondrá una
Infraestructura de Clave Pública (siglas en inglés, PKI) para su aplicación práctica en
una arquitectura de seguridad.
En un proceso de comunicación entre dos agentes es imprescindible la confianza entre

ambos (Autentificación). También los agentes tienen que tener la seguridad de que solo
hablan entre ellos (Confidencialidad). Si un agente envía datos al otro, este querrá que
los datos que enviados sean iguales a los recibidos (Integridad). Además querrá que si
envía los datos a ese agente, le llegue a ese agente y solo a ese agente (No repudio).
Para imaginarnos todo este proceso pongamos un ejemplo.
Tenemos dos agentes: el agente A y el agente

B, el agente A quiere enviar datos Datos
Agente Agente
confidenciales al agente B para ello utiliza A B
un canal no seguro. Los problemas que
implica la utilización de dicho canal son:
El agente A no sabe si los datos han

llegado al agente B, una tercera persona
puede haberse hecho pasar por el Agente WIRETAPPING
B. A este tipo de acción se le llama

comúnmente como “Spoofing” o robo de
identidad.
El agente A no sabe si los datos que envía

al agente B solo los recibe el. Una tercera
persona podría estar escuchando la SPOOFING
comunicación entre ambos a, a este tipo
de acción se llama “Wiretapping” o línea Cracker
pinchada.
(77). Ejemplo de ataques en comunicaciones
190
de Clave Pública
Ambas acciones implican el robo de información confidencial que solo debería de ser
conocida por los dos agentes. Para evitar que la información confidencial no caiga en
malas manos necesitamos que los datos vayan encriptados y que solo los pueda
descifrar la persona que nosotros queramos. Por lo tanto hay una necesidad de
transferencias segura de claves, para ello se utiliza lo que se llama como PKI. Una PKI
[JSH806] es una infraestructura de clave pública, una combinación de hardware,
software, políticas y procedimientos de seguridad. Que permiten la ejecución con
garantías de que una transacción electrónica se ha realizado de forma segura respecto a
la autentificación, confidencialidad, integridad y no repudio.
La infraestructura de clave pública nos garantiza que los datos viajarán seguros a través
del medio de comunicación, para ello el medio de comunicación debe ser seguro. En un
medio de comunicación seguro los mensajes van cifrados. El cifrado de los datos en
dicha infraestructura se realiza a través de un algoritmo de encriptación asimétrico.
Dicho algoritmo convierte el texto original del documento a un texto ilegible. Se llama
asimétrico pues para aplicar dicho algoritmo hace falta dos claves, una para cifrar y otra
para descifrar.
191
de Clave Pública
16.1 Ciclo de Vida de Certificados
Para todo este proceso de infraestructura de clave pública necesitamos lo que se llama
un ciclo de vida de certificados [JSH806]. Un ciclo de vida de certificados es un proceso
por el cual se envía las claves a los usuarios del sistema por un periodo de tiempo
definido.
(78). ciclo de vida de certificados [JSH806]
Para dicho ciclo se necesita realizar una serie de pasos:
Generación de Claves
La Generación de claves es un proceso por el cual se le asigna a cada agente del sistema
un par de claves. Una clave de carácter público es de conocimiento general y se
enviarán a todos los agentes pertenecientes al sistema. La clave de carácter privada es
generada a la par con la clave de carácter público pero a diferencia de esta última solo
puede ser conocida por su legítimo dueño y no tienen ninguna relación numérica
directa.
Una clave la definimos como una cadena de caracteres y números, repartidos de forma
pseudo aleatoria. Las claves son generadas por el algoritmo HMQV y ECDSA a partir
de un número primo como se ha explicado anteriormente. La propuesta que se propone
es llevar información asociada en este número primo. Se propone que el número primo
p o d indique el estatus del individuo en la empresa.
192
de Clave Pública
El número tendrá 10 caracteres de los cuales dos están reservados para el estatus del
individuo en la empresa, la posición de estás dos posiciones no es fija y se identificarán
mediante letras latinas de la “A” a la “Z”. Los otros 8 caracteres serán numéricos del 0
al 9 y representará un número primo. La posición de las dos letras se da por un número
aleatorio entre el 1 y el 8, el cual indica la posición de la primera letra del estatus del
individuo en la empresa. Dicho número aleatorio será distinto por cada emisión de
claves nuevas. La posición de las dos letras en la clave privada será una menor que para
las claves públicas dado por en número aleatorio.
Ejemplo de generación de parámetros de entrada:
Número p:
104857 ME 5
n=7
(79).Generación de parámetros de entrada
Las posiciones en el número van desde el 0 hasta al 9. El número aleatorio dado para
esta generación de claves es 7 (N=7). En número p (5) se observa una primera parte de
del número primo 1048575 está entre la posición 0 y la posición 6. Después le sigue la
identificación de su estatus de seguridad dado por las letras: “BA” bajo “ME” medio
“AL” alto. El estatus de seguridad* nos dice a los datos a los cuales puede acceder.
Seguido esto le sigue el último carácter con el resto del número primo. Los algoritmos
HMQV y ECDSA solo utilizarán la parte numérica para la generación del cifrado y
descifrado. La parte de identificación de estatus será asociada a las claves generadas y
pasadas al servidor de archivos y base de datos para el sistema de privilegios de
usuario*.
La ventaja de utilizar este sistema de generación de números primos es que la parte

identificadora nos permite crear una jerarquía en el acceso a datos, útil para la
protección de los mismos. Y la probabilidad de poder conseguir el número por fuerza
bruta es de 1 entre 8*10*7*27*2=30240 (8 el número de posiciones de los números, 10
los números disponibles, 7 posiciones posibles para la primera letra del identificador, 27
letras del abecedario español, 2 letras).
Una vez definidos los parámetros de entrada para los algoritmos HMQV y ECDSA se
tiene que definir la utilización de los mismos. Como se ha podido ver en las propiedades
explicadas anteriormente, HMQV obtiene una clave común entre dos entidades y
ECDSA obtiene una clave pública y otra privada. Para la PKI propuesta se definirán
claves de sesión entre usuarios con el algoritmo HMQV y claves de certificación y
firma digital con el algoritmo ECDSA.
*El estatus de seguridad será explicado con más detalle en el documento de gestión de datos
*El sistema de privilegios de usuarios será explicado con más detalle en el documento de gestión de datos.
193
de Clave Pública
Emisión de Certificados
La creación de certificados se realiza según el estándar X.509 [Hunt02] recomendada
por la ISO. El estándar X.509 nos da recomendaciones de cómo definir los datos y
procedimientos para distribuir claves públicas vía certificado digital. Dicho certificado
será firmado por una AC “Autoridad de Certificación” mediante el algoritmo ECDSA.
El X.509v3 es la última versión de este estándar, aunque nos da una serie de

definiciones (cuadro definiciones) sobre los campos a utilizar. No nos especifica el
contenido de los subcampos que puede poseer o el valor de los datos. Debido a esa
carencia, en este apartado se propondrá una propuesta concreta de formularios al igual
se que ha hecho con la generación de claves.
Definiciones dadas por X.509v3

AC: Autoridad de Certificación
AR: Autoridad de Registro
AV: Autoridad de Validación
DN: DistinguishedName–Nombre distintivo. Identificación unívoca
CN: commonName–Nombre común
GN: guivenName–Nombre
SN : surName-Apellido
O: Organización
OU: Unidad organizativa
C: Country
CRL: CertificateRevocationList–Certificados revocados
(80).Definiciones (JSH806)
Se pretende aprovechar el estándar no solo para la transmisión de claves públicas sino

también de claves privadas. En la generación de claves hemos podido concretar que la
generación se hace en paralelo. La emisión de la primera clave privada se considera
crítica, la transmisión la realizará la autoridad de certificación mediante la distribución
personal de las tarjetas inteligentes. La actualización de la misma se realiza a través de
un certificado de dominio personal cifrado. La transmisión de las claves públicas se
considera de domino empresarial. Es decir en conocimiento solo para personal de la
empresa. A continuación se muestran un formato para los certificados de dominio
empresarial y de dominio personal.
194
de Clave Pública
Certificado Digital para Clave Privada N.: Número Inequívoco de Documento
Datos Personales
Nombre= Nombre del Empleado

Identificador= Número de Identificación de la Empresa
Localizador de Trabajo= Lugar de Trabajo Ciudad, Calle, Número, Sector
Teléfono de Contacto= Teléfono de fijo o móvil
Correo= Correo de Trabajo
Claves Privada
Nivel de Seguridad ={Alto, Medio, Alto}

Identificador= valor de la clave privada
Fecha de Edición= día/mes/año
Periodo de Validez= Desde día/mes/año : hora Hasta día/mes/año : hora
Autoridad Certificadora
Nombre de Entidad= Nombre

Localización= Lugar de Trabajo Ciudad, Calle, Número, Sector
Correo= Correo para enviar consulta
Firma= Firma de Autoridad Certificadora
Autoridad Verificadora

Correo= Correo para enviar la verificación
CRL (Certificate Revoke List)

Correo= Correo para enviar la revocación
(81). Formato de Certificado de Dominio Personal
El certificado digital de clave de dominio personal está compuesto por 5 partes. Los
Datos Personales donde se incluyen los datos concernientes a la persona a la cual va
dirigida el mensaje; la función de dicha parte es la de identificar de forma inequívoca a
la persona receptora del mensaje. La Clave Privada la cual dará el valor de la misma, la
fecha en la cual se creó y el periodo de validez de la misma, el nivel de seguridad. La
Autoridad Certificadora representa los datos de la entidad encargada de la creación de
claves así como una vía de contacto vía mail. Para la verificación del mensaje en el
apartado de Autoridad Verificadora nos indica donde se tiene que dirigir. La Autoridad
Certificadora puede jugar el mismo como Autoridad Verificadora. Y la última casilla
nos muestra datos para comunicar la revocación del certificado en caso de fallo de
seguridad o incorrección de los datos. El manejo de este certificado es automático entre
el programa de certificación y la tarjeta inteligente del individuo a la cual va destinado.
195
de Clave Pública
Certificado Digital para Claves Públicas N.: Número Inequívoco de Documento
Datos Empresariales
Nombre= Nombre de la Empresa

Localización= País ,Ciudad, Calle, Número
Teléfono de Contacto= Teléfono de fijo o móvil
Correo= Correo de la empresa
Claves Públicas
Fecha de edición= día/mes/año

Periodo de validez: Desde día/mes/año :hora Hasta día/mes/año :hora
Nombre Nivel de Seguridad Clave Pública
Apellido1 Apellido2, Nombre {Alto,Medio,Bajo} Valor
… … ….
Autoridad Certificadora

Correo= Correo para enviar consulta
Firma= Firma de Autoridad Certificadora
Autoridad Verificadora

Correo= Correo para enviar la verificación
CRL (Certificate Revoke List)

Correo= Correo para enviar la revocación
(82). Formato de Certificado de Dominio Empresarial
El certificado digital de clave de dominio empresarial está compuesto por 5 partes. Los
Datos Empresariales donde se incluyen los datos concernientes a la entidad; el mensaje
va dirigido a todos los integrantes de la entidad. Las Claves Públicas la cual dará el
valor de todas las claves así como su dueño y el nivel de seguridad de la misma. La
Autoridad Certificadora representa los datos de la entidad encargada de la creación de
claves así como una vía de contacto vía mail. Para la verificación del mensaje en el
apartado de Autoridad Verificadora nos indica donde se tiene que dirigir. La Autoridad
196
de Clave Pública
Certificadora puede jugar el mismo como Autoridad Verificadora. Y la última casilla

nos muestra datos para comunicar la revocación del certificado en caso de fallo de
seguridad o incorrección de los datos. El documento estará firmado por la Autoridad
Certificadora mediante el algoritmo ECDSA.
Uso de Claves
Cada persona es poseedora de dos claves, una de pública y otra privada. Las claves de
índole privada son solo conocidas por su propietario. La clave privada será usada para
las firmas digitales. La clave de índole pública es conocida por todo personal de la
empresa y nos indica la autoría de la persona que envía el mensaje. Son por lo tanto de
dominio empresarial y no puede ser conocido por personal ajeno a la organización.
En caso de que las claves públicas sean conocidas por personal ajeno a la organización
se comunicará de inmediato a la Autoridad de Registro. La Autoridad de Registro se lo
comunicara a la Autoridad Certificadora y esta última procederá a la emisión de una
nueva remesa de claves públicas. Las claves públicas se envían en un solo certificado
digital de claves públicas enviado a todo el personal mediante un mensaje multicast. Del
mismo modo la Autoridad Certificadora tendrá que enviar una nueva remesa de claves
privadas a todo el personal dado que las claves son simétricas. Las claves privadas serán
enviadas en certificados digitales de clave privada individuales a cada uno de los
miembros de la entidad.
Validación
La validación de las claves las realiza la Autoridad Verificadora es la encargada de que
todos los certificados han sido recibidos a los individuos indicados (No repudio). Todos
los certificados llevan asociados un acuse de recibo. El receptor de un mensaje debe
comunicarse con la Autoridad Verificadora indicando su identidad y la correcta
recepción del mensaje. Para la recepción de los certificados de clave privada se
recomienda el siguiente formato de acuse de recibo:
Acuse de Recibo para Clave Pública N.: Número Identificador de certificado de clave privada
Yo “ Nombre” con número identificador “identificador” , he recibido de forma satisfactoria el certificador de

clave pública de fecha “fecha de emisión” .
.
Fecha de Edición : “fecha ” Firma Digital
(83). Acuse de recibo para clave pública
197
de Clave Pública
En el acuse de recibido debe quedar constancia la persona que la envía, el documento

que confirma y la fecha de emisión. Para los certificados de Clave Pública pueden
seguir el mismo procedimiento pero solo dejando constancia del correcto recibimiento
del documento. Los acuses de recibos serán enviados en formato pdf con firma digital
(Véase ECDSA) a la autoridad verificadora a la dirección o mail indicada en el
certificado.
Expiración de las claves

Una vez pasado el periodo de validez de las claves tienen que pasar por un proceso de
expiración. En el proceso todas las claves tienen que ser eliminadas de todos los
soportes existentes. Las claves públicas y privadas serán borradas de todos los archivos
informáticos y físicos. El proceso de expiración será un día después del proceso de
actualización.
Actualización
El proceso de actualización será realizado por la Autoridad Certificadora mediante el
proceso de generación de claves y emisión de certificados dicho anteriormente. La
Autoridad Certificadora tiene que tener constancia de que ha recibido todos los acuses
de recibo para todos los certificados emitidos. En caso de haber recibido todos los
acuses de recibo en un tiempo razonable fijado por la empresa, se notificará a todos los
usuarios una nueva rondad de actualización de claves.
198
de Clave Pública
16.2 Componentes de la PKI
Política de Seguridad
En la política de Seguridad de claves tiene que quedar constancia de cómo se va a
implantar la infraestructura de clave pública y del uso o manejo de las claves.
Para ello se detallará todo el proceso de vida de las claves: Generación, Emisión, Uso y
Expiración.
Generación de Claves
La generación de claves asimétricas será un proceso automático que será realizado en

un servidor remoto (servidor de claves). Dicho servidor generará las claves con un
proceso batch que llamará a un programa el cual lleva implemento el algoritmo
ECDSA para generación de claves asimétricas. El número primo para la generación de
las claves serán dados según como se especifica en el apartado de generación de claves
de esta sección. El acceso al servidor estará protegido mediante un control de acceso
implementado por otro servidor de seguridad. La localización lógica del servidor será en
una red independiente y respecto a la localización física estará en una habitación
protegida contra incendios y de acceso restringido. Las claves de sesión serán dadas por
un programa implementado en la AR de cada estación de trabajo.
Emisión de las Claves
La Autoridad Certificadora (AC) será la encargada de la emisión de las claves. La

emisión de las claves se realizará de acuerdo al estándar X.509 y a lo dicho en el aparto
de emisión de certificados de esta sección. Todos los certificados tendrán acuse de
recibo que será enviado a la Autoridad Verificadora. La emisión de claves se realizará
mediante comunicación segura VPN (Las claves públicas se enviarán en un solo
certificado y mediante un proceso multicast. Las claves privadas serán enviadas
individualmente a cada uno de sus propietarios mediante certificado cifrado con la clave
privada de anterior generación. La clave privada de primera generación será dada en
contrato y jugará el rol de clave pública para descifrar la actualización de clave privada.
Las claves privadas solo podrán ser almacenadas en tarjetas de seguridad individuales
protegidas contra radiaciones. Las claves serán renovadas dado un tiempo determinado
(ver Ciclo de Vida de Certificados, Actualización). En caso de fallo de seguridad se
procederá a una nueva emisión de claves.
199
de Clave Pública
 La tarjeta de seguridad para la clave privada
Se tendrá un dispositivo hardware para la actualización de tarjetas de seguridad. El

dispositivo hardware tiene que reconocer los certificados de clave privada para la
actualización de la misma con la ayudad de un software de gestión de claves. Para el
descifrado del certificado utilizará la clave privada almacenada en la tarjeta. La primera
emisión de tarjetas será dado de forma física por la Autoridad Certificadora (CA). Dicho
dispositivo será individual para cada puesto de trabajo. La actualización de la tarjeta
será un proceso automático con el uso del certificado de dominio personal cifrado
siempre con la clave privada anterior solo disponible en la tarjeta.
La tarjeta inteligente responderá al estándar PKCS#11. El estándar define una tarjeta

inteligente como una tarjeta de tamaño carné con circuitos integrados que permiten la
ejecución de cierta lógica programa. Las tarjetas tienen componentes de memoria no
volátil y un dispositivo de seguridad de acceso mediante PIN. También identificarán a
la empresa, el individuo portador, fecha de caducidad y nivel de seguridad.
 Software de gestión de claves
Para la gestión de las claves todo equipo de trabajo tendrá un software instalado para la
comunicación con el servidor de claves. Dicho software estará instalado en todos los
puestos de trabajo. Para la emisión de claves privadas se comunicará con las tarjetas de
forma automática y para la emisión de claves públicas con los usuarios mediante correo
electrónico para la emisión de claves.
Uso de Claves
Las claves privadas son de uso y conocimiento personal las claves privadas son de uso y
conocimiento empresarial. Se entiende por uso y conocimiento empresarial a todo el
personal directo de la empresa y a aquel indirecto con autorización dada por la dirección
de la empresa. Una violación de lo anteriormente dicho supondría una violación de la
seguridad y se procedería a una actualización de urgencia de todas las claves, tanto
privadas como públicas con el conocimiento de la Autoridad de Registro (AR). Dicha
violación quedará grabada en el fichero CRL de la Autoridad de Registro.
Expiración de las Claves
La expiración de las claves se realizara en cada puesto de trabajo mediante un

procedimiento remoto controlado por un software de gestión de claves. No podrá haber
ningún archivo informático en los puestos de trabajo en el cual este las claves públicas
de la empresa que no esté en conocimiento de la Autoridad de Registro (AR).
200
de Clave Pública
Autoridad Certificadora (AC)
La Autoridad Certificadora (AC) es la encargada de la generación, emisión y revocación

de certificados. Su tarea es la de hacer llegar a todos los integrantes de la empresa las
claves generadas en el servidor de claves. Su papel es la de dar confianza de que las
claves han sido enviadas a sus dueños legítimos. La emisión de certificados se puede
realizar desde el servidor de claves a través un programa de generación y envió de
certificados.
Autoridad de Registro (AR)

El trabajo de certificación será supervisado por la Autoridad de Registro (AR). El papel
de este ente será de corroborar el correcto funcionamiento del mecanismo de emisión de
certificados. Se encargará de realizar la petición del certificado y de guardar y eliminar
los datos sensibles (claves) y la creación de claves de sesión. La eliminación de claves
se realizará de forma remota a través de un programa de control desde el servidor de
claves. En caso de fallo de seguridad, incorrección de datos o expiación de claves será
la Autoridad de Registro la encargada de realizar las tareas pertinentes. Para el control
de fallos de seguridad la Autoridad de Registro dispondrá de un fichero CRL. A efectos
prácticos será un programa instalado en cada estación de trabajo.
Autoridad de Verificadora (AV)

La verificación de envió de los certificados será revisado por la Autoridad Verificadora.
El papel de este ente será de corroborar que todos los certificados han sido recibidos por
sus legítimos dueños. Se encargará de realizar la petición de revocación en caso de no
haber recibido un acuse de recibo de todos los certificados. Para ello avisará a la
Autoridad de Registro para que pida la eliminación de claves y una nueva emisión de
certificados. La Autoridad de Registro actualizará su CLR en este caso. El programa de
emisión de certificados puede jugar el papel de receptor de acuses de recibo. Así como
la Autoridad Certificadora puede actuar también como Autoridad Verificadora.
Repositorio de Certificados y Sistema de Distribución

Para el repositorio de certificados y sistema de distribución la RSA security recomienda
usar un servidor LDAP. LDAP (, es un protocolo a nivel de aplicación que permite el
acceso a un servicio de directorio ordenado y distribuido para buscar diversa
información en un entorno de red. LPAD es soportado por muchas compañías de
software como Microsoft, IBM, Netscape. El servidor de claves puede actuar el papel
de servidor de repositorio de claves (LDAP) y este solo podrá ser actualizado por la
Autoridad Certificadora. A parte de las claves, también guarda una lista de revocación
de certificados (CRL) y el usuario y certificado de la Autoridad Certificadora.
201
de Clave Pública
Aplicaciones PKI
Las aplicaciones y estándares necesarios para la infraestructura están resumidas en el
siguiente esquema.
E-Mail
corporativo
Programa AR Programa AC/AV

Programas
,
recomendados
para la PKI
VPN
Estándares
LPAD X.509 PKCS#11 PKCS#13 recomendados
para la PKI
(84) Infraestructura PKI
En la base de la infraestructura PKI estaría los estándares recomendados por la RSA

security. El X.509 para la creación de certificados, la PKCS#13 para la emisión de
certificados y LPAD para el almacenamiento de claves. LA PKCS#11 para el uso de
tarjetas inteligentes y para la recepción de certificados de dominio empresarial se
recomienda el uso del E-Mail de la empresa para la recepción de los certificados
(siempre y cuando cumpla con el documento de gestión de riesgos). También el uso de
una red privada estándar para la comunicación de los certificados. Y por último un
programa AC/AV para la creación, envío y verificación de los certificados y otro
programa AR para generación de claves de sesión, comunicarse con la AC/AV y
controlar la LPAD y un fichero CLR.
202
de Clave Pública
16.3 Comunicación en la PKI
Certificado A Certificado B
AC/AV
Estación de
Trabajo A Estación de
Trabajo B
T T
C C
SISTEMA DE
TARJETAS INTELIGENTES SISTEMA DE
TARJETAS INTELIGENTES
AR VPN AR
Datos cifrados
Agente A
Agente B
(85) Comunicación segura
El esquema mostrado arriba indica los componentes necesarios para una comunicación
con una infraestructura PKI. Por una parte se encuentra la AC/AV entidad de
certificación y validación, entidad que se encarga de la emisión y validación de claves.
En cada estación de trabajo nos encontramos con tres elementos: La AR, el sistema de
tarjetas inteligentes, el agente. La AR es la encargada de pedir las claves a la AC/AV,
de guardar las claves públicas en el directorio LPAD, guardar un fichero con los
certificados revocados CRL y la de actualizar y autentificar la clave privada del agente.
El sistema de tarjetas inteligentes es un sistema de acceso al terminal de trabajo donde
el agente tendrá que introducir su tarjeta inteligente para poder interactuar con el
terminal. El agente es la persona encargada de manipular la información confidencial de
la empresa, su papel será el de cifrar/descifrar datos y enviar la verificación de claves.
El mecanismo de comunicación sería el siguiente. Supongamos que el agente A quiere
enviar datos al agente B. El primer paso que debe hacer A es pedir una clave pública y
una clave privada a la AR. La AR envía esta petición a la AC, la cual responde con dos
certificados.
203
de Clave Pública
Un certificado de dominio empresarial para el agente A, el cual tendrá que enviar un

acuse de recibo. Y un certificado de dominio privado el cual irá directamente a la AR.
La AR actualizará la clave privada de la tarjeta inteligente a través del sistema de
tarjetas inteligente.
El siguiente paso es la negociación entre agentes de claves de sesión realizada con el

algoritmo HMVQ implementado en la AR. Una vez establecida una conexión segura
mediante VPN. El agente A cifra los datos con su clave privada. Los datos son enviados
de forma segura por la VPN. Una vez llegados al agente B este pedirá la clave pública
del “agente A” a su AR. Si la AR tiene la clave en su LPAD el envió se habrá realizado
con éxito y los datos serán descifrados. En caso de que la AR encontrará la clave en el
fichero CLR pedirá una nueva remesa de claves a la AC. Y en caso de no encontrar la
clave se notificará a la AV y se pedirá una nueva remesa a la AC.
204
de Clave Pública
16.4 eDNI y firma electrónica

El Centro Criptográfico Nacional (CCN) es el organismo responsable de la
coordinación de la acción de los diferentes organismos de la Administración, que
utilicen medios o procedimientos de cifrado. Otro de sus objetivos es garantizar la
seguridad de las Tecnologías de la Información en ese ámbito, informar sobre coordinar
en materia de criptología. El centro tiene como ámbito de actuación los escenarios
nacional e internacional. Para estandarización internacional de los mecanismos
criptográficos. Una de sus tareas fue la creación del documento nacional electrónico.
Todo ser humano tiene derecho, en todas partes, al reconocimiento de su personalidad

jurídica. Esta es la premisa por la cual se crea el documento nacional de identidad
electrónico eDNI. Dicho documento tiene suficiente valor para acreditar la identidad y
datos personales de su titular.
Además de acreditar la nacionalidad española incluye la posibilidad de utilizar una

firma electrónica. Dispone de un dispositivo de generación y almacenamiento de claves
(HSM) instalado en el chip de la tarjeta. Genera un par de claves (pública y privada)
mediante el algoritmo RSA y genera certificados X509v3.
Los beneficios que ofrece el DNI electrónico son:
o Como medio de firma electrónica de documentos

o Como medio de certificado de Integridad de un documento
o Como medio de certificación de Integridad de un documento
Este tipo de dispositivo se puede utilizar en la infraestructura PKI. Para ello, tiene que
tener un lector de tarjetas inteligentes que cumpla el estándar ISO-7816. En entornos
Microsoft Windows, el equipo debe tener instalado un servicio denominado
“Crytographic Service Provider” (CSP). Y en entornos Unix/Linux deben de implantar
el módulo criptográfico denominado PKCS#11.
La fábrica nacional de moneda y timbre es el responsable de la fabricación de los

documentos fundamentales. Su objetivo es garantizar su identidad y dar aptitudes y
derechos a los ciudadanos. Fabricar documentos protegidos contra la falsificación y
manipulación, producidos en un entorno seguro, con la máxima garantía y calidad.
La fábrica nacional es el proveedor de servicios de certificación a través de CERES. Y

ha implementado una serie de aplicaciones que permiten a la Administración y las
empresas españolas realizar sus trámites a través de Internet de forma totalmente segura.
Atendiendo a la entidad final que va a ser certificada, o al objeto de la certificación, se
emiten certificados de identidad de usuarios, ya sea para uso corporativo o particular,
certificados de componentes informáticos y certificados de firma de software. También
ofrece servicios avanzados de tercera parte de confianza como sellado de tiempo,
servicios de no repudio, certificación y archivo de mensajes, etc.
205
Apéndice Javier Ruiz-Canela López
17 APÉNDICE
17.1 Acrónimos
Siglas Significado Siglas Significado
AENOR Agencia Española de Norvativas y Regulación IDS Intrusion Detection System
AH Authentication Header IPS Intrusion Prevention System
AC Autoridad de Certificación LOPD Ley Orgánica de Protección de Datos
AR Autoridad de Registro LED Light-Emitting Diode
AV Autoridad de Validación LPAD Lightweight Directory Access Protocol
BIA Business Impact Analysis LAN Local Area Network
CDB Capacity Data Base MAC Media Access Control Address
CRL Certificate Revote List MQV Menezes-Qu-Vanstone
CCTV Closed-Circuit Television Video MPLS Multiprotocol Label Switching
CIF Código de Identificación Fiscal NAT Network Address Translation
CGI Common Gateway Interface NTP Network Time Protocol
DAS Dañino, autorreproductor y subreptición NIF Número de Identificación Fiscal
DMZ Delimited Zone OWASP Open Web Application Security Project
DoS Denial of Service OMS Organización Mundial de la Salud
DPI Derechos de Propiedad Intelectual PTZ Pan, Tilt, Zoom
DH Diffie Hellman PC Personal Computer
DVR Digital Video Recover PDF Portable Document Format
DNI Documento Nacional de Identidad POP Post Office Protocol
DNS Domain Name System PKCS Public Key Cryptography Standard
DHCP Dynamic Host Configuration Protocol PKI Public Key Infrastructure
ECC Elliptic Curve Cryptography RAM Random Access Memory
ECDSA Elliptic Curve Digital Signature Algorithm RRHH Recursos Humanos
Registro General de Protección de
ESP Encapsulating Security Payload RGPD Datos
FIP Fair Information Practices ROI Return Of Investment
FAR False Acceptation Rate RSE Reverse Social Engineering
FRR False Rejection Rate RIP Routing Information Protocol
FBI Federal Bureau of Investigation SFTP Security File Transfer Protocol
FOV Field of View SSH Security Shell
FTP File Transfer Protocol SSL Security Socket Layer
GPS Global Position System SOA Service Oriented Architecture
HSM Hardware Security Module SMTP Simple Mail Transfer Protocol
HMQV Hash Menezes-Qu-Vanstone SCE Structured Cabling Electrical
HTTP HyperText Transfer Protocol SQL Structured Query Language
IP Identification Protocol TCP Transport control Protocol
IRPF Impuesto sobre la Renta para Personas Físicas TLS Transport Layer Security
ISO International Standard Organization UPS Uninterruptable Power Supply
ICMP Internet Control Message Protocol UDP User Datagram Protocol
IMAP Internet Message Access Protocol VPN Virtual Private Network
IPSec Internet Protocol Security WAN Wide Area Network
206
17.2 Bibliografía
Apuntes
[JSH806] Javier Jaurata Sánchez José María Sierra Rafael Palacios hielscher “Infraestructura de Clave
Pública”, Tema 8 Seguridad Informática, Universidad Pontificia de Comillas ICAI, 2006
[JSH106] Javier Jaurata Sánchez José María Sierra Rafael Palacios hielscher “SeguridadPerimetral”,
Tema 10 Seguridad Informática, Universidad Pontificia de Comillas ICAI, 2006
[JSH506] Javier Jaurata Sánchez José María Sierra Rafael Palacios hielscher “Algoritmos asimétricos”,
Tema 5 Seguridad Informática, Universidad Pontificia de Comillas ICAI, 2006
[Barr03] Jesús Barranco de Areba, “Introducción a los Sistemas de Información”, Tema 1 Gestión de
Sistemas de Información, Universidad Pontificia de Comillas ICAI , 2003
[Puer03]Enrique Juan Fernández Puertas, “La cadena de Valor y la Visión de la Empresa por procesos”,
Tema 1 Control Informático de Gestión, Universidad Pontificia de Comillas ICAI, 2003
[Toma07] Alessandro Tomasi , “The quality of the software”, Universita degli studi di Trento, 2007
[Muño209] Manuel Muñoz García, “Capitulo 2: Inicio del Proyecto”, Gestión de Proyectos Informáticos,
Universidad Pontificia de Comillas ICAI, 2009
[Muño709] Manuel Muñoz García, “Capitulo 7: Gestión de Riesgos”, Gestión de Proyectos Informáticos,
[OrteM409]Mariano Ortega de Mues, “Modulo 4, los ingenieros y la ética profesional”, Ética informática,
Artículos
[Hunt02] Ray Hunt, “PKI and Digital Certification Infrastructure”,[
http://www.ieso.ca/imoweb/marketEntry/pki.asp],IEEE,2002
[Kraw05] Hugo Krawczyk, “HMQV: A High-Performance Secure Diffie-Hellman Protocol”, IBM
Reseach Center, New York [USA], 5 de junio de 2005
[Jonson01] Don Johnson, Alfred Menezes y Scott Vanstone Certicom Research,

“The Elliptic Curve Digital Signature Algorithm [ECDSA]”, Dept of Combinatorics & Optimization,
University of Waterloo, Canada, 2001
[Marc02] Lic Marcelo Manso, “Estudio sobre Virus Informático”,[

http://www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml], 29 de Junio de 2002.
[Frei00] José Luis Freire, “Virus”, [http://www.monografias.com/trabajos/estudiovirus/virus.shtml],22

de Noviembre de 2000
[Selo06] Josep lo, “Trojan Horse Attack”,[ http://www.irchelp.org/irchelp/security/], Febrero del 2006
[Pand09] Panda software, “worms”, [http://www.pandasecurity.com], enero de 2009
[More03] Arnoldo Moreno, “Gusanos Informáticos”, marzo de 2003
[Ogor02] Maciej Ogorkiewicz & Piotr Frej, “Analysis of Buffer Overflow Attacks”, Windows OS
Security, 08 de Noviembre de 2002
207
[Shim03] Robert J. Shimonski, “Denial of Service 101”, Misc Network Security, 05 de Febrero de 2003
[MacV08] Lori Mac Vittie, “SQL Injection Evasion Detection”, The ISSA journal, volumen 6, febrero de
2008
[FBI07] FBI, “FBI Computer Crime Survey”,

[http://www.fbi.gov/page2/jan06/computer_crime_survey011806.htm],Enero de 2007.
[Belto06] Mike Belton [Security Engineer], “Understanding Malware and Internet Browser”, Berbee,
Mayo de 2006
[Alle06] Malcolm Allen, “Social Engineering, a means to violate a computer system”, SANS, Junio de
2006
[Inteco08] Inteco [Instituto Nacional de Tecnologías de la Comunicación], “Estudio sobre incidencias y

necesidades de seguridad en las pequeñas y medianas empresas españolas”,
[www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes], 14 de enero de 2008
[Inteco09] Inteco [Instituto Nacional de Tecnologías de la Comunicación], “Estudio sobre la privacidad

de los datos personales y la seguridad de la información en las redes sociales”,
[http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/est_red_soci
ales_es], febrero de 2009
[Wind07] Windows corp, “Windows NT, Terminal Server, and Microsoft Exchange Services Use
TCP/IP Ports” , [http://support.microsoft.com/default.aspx?scid=kb;en-us;150543], “Exchange 2000
windows 2000 connectivity through firewalls” ,[http://support.microsoft.com/default.aspx?scid=kb;en-
us;280132] ,21 de febrero de 2007
[ITIL09] ITIL-Gestión de Servicios TI, “Gestión de la Capacidad”, [http://itil.osiatis.es/Curso_ITIL/

Gestion_Servicios_TI/gestion_de_la_capacidad/proceso_gestion_de_la_capacidad/proceso_gestion_de_la
_capacidad.php], 31 de mayo de 2009
[JGall01] Michael J. Gallagher, “Centralized Backups”, [http://www.sans.org/reading_room/whitepapers/

backup/centralized_backups_513], Junio de 2001
[MiTe09] Microsoft Technet , “Perimeter Firewall Desing”, [http://technet.microsoft.com/en-

us/library/cc700828.aspx#XSLTsection138121120120], 2 de junio de 2009
[FRPE09] Instituto Nacional de Seguridad e Higiene en el trabajo, “Funciones y Responsabilidades

Preventivas en la Empresa”,
[http://www.insht.es/InshtWeb/Contenidos/Documentacion/TextosOnline/FichasNotasPracticas/Ficheros/
fp_rev_22.pdf], 7 de julio de 2009
[IBM09] IBM ,”Determinar el número de subredes que necesita en la red”,

[http://publib.boulder.ibm.com/html/as400/v4r5/ic2931/info/RZAFM0U1DETERNOOFSUBNETSCO.H
TM], 14 de julio de 2009
[Ditec09] Ditec s.a ,”2.2 Encaminamiento” ,[ http://ditec.um.es/laso/docs/tut-tcpip/3376c22.html], 14 de

julio de 2009
[Pago04] Bob Pagoria, “Implementing Robust Physical Security”,

[http://www.sans.org/reading_room/whitepapers/physcial], 15 de agosto de 2004
[MoRu00]Domingo Morales L Javier Ruiz-del-Solar, “Sistemas biométricos: Matching de huellas

dactilares mediante transformada de Hough generalizada”,
[http://www2.ing.puc.cl/~iing/ed429/sistemas_biometricos.htm], 16 de octubre del 2000
208
[Cox07] Bryan D. Cox “Design and Installation of CCTV Systems for Retail Businesses”,[
http://www.coxprotectiveservices.com], 2007
[Barry07] L. Barry Lyons IV,” Preparing For A Disaster: Determining the Essential Functions That
Should Be Up First”,[http://www.sans.org/reading_room/whitepapers/recovery/], 4 de octubre de 2007
[Moreno07] Ignacio Moreno Velasco, “Mantenimiento de equipos informáticos”, Universidad de Burgos,

Enero 2007
[Lock09] “Lock computer in Linux”, [http://www.bnl.gov/cybersecurity/lockComputer/lockUnix.asp],

“bloquear equipo en Windows” [http://support.microsoft.com/kb/294317], “Quickly lock your screen” ,
[http://www.macworld.com/article/49080/2006/01/lockscreen.html],14 de julio de 2009
[ISOIS09] ISO org, “Norma ISO11801” [http://www2.udg.mx/muralmta/montiel/files/iso11801.htm], 22

de julio de 2009
[Krasn04] Ph D Jerry Krasner, “Using Elliptic Curve Cryptography [ECC] for Enhanced Embedded
Security”, American Technology International, Inc, Noviembre 2004.
[RSA09] RSA Laboratories, “PKCS #1 v2.1: RSA Cryptography Standard”,

[http://www.rsa.com/rsalabs/node.asp?id=2125], 1 de agosto de 2009.
[Porter00] Michael E. Porter, “La importancia de las fuerzas competitivas en el diseño de la estrategia
competitiva”, 15 de febrero de 2000.
[Gonz00] Elsa González Esteban, “LA EMPRESA ANTE SUS GRUPOS DE INTERESES:
Una aproximación desde la literatura del análisis de los stakeholders”, Universitat Jaume I
Castellón, 1 de febrero de 2000.
[Bevil03] Matías Bevilacqua Trabado, ”Open-Source Digital Forensics Manual”,

[http://sourceforge.net/projects/oscfmanual/], 15 de mayo de 2003
Normas y legislación
[LOPD99] “LEY ORGÁNICA 15/1999 de Protección de Datos de Carácter Personal”,
[www.boe.es/aeboe/consultas/bases_datos/doc.php],13 de diciembre de 1999.
[LPI96] “LEY 1/1996 de Propiedad Intelectual”,

[www.boe.es/aeboe/consultas/bases_datos/doc.php], 12 de abril de 1996.
[LDM01] “Ley 17/2001 de Marcas”, [www.boe.es/boe/dias/2001/12/08/pdfs/A45579-45603.pdf], 7 de

diciembre de 2001.
[RDET95] “ Real Decreto Legislativo del Estatuto de los Trabajadores”,

[ http://noticias.juridicas.com/base_datos/Laboral/rdleg1-1995.t1.html], 24 de marzo de 1995
[LGSS00] “Ley General de la Seguridad Social”, [http://noticias.juridicas.com/base_datos/Admin/rdleg1-

1994.html], 20 de junio de 2000
[LPRL96] “Ley 31/1995 de Prevención de Riesgos Laborales”,

[http://www.boe.es/boe/dias/1995/11/10/pdfs/A32590-32611.pdf ], 8 de noviembre de 1995
[Inst06] “INSTRUCCIÓN 1/2006,sobre el tratamiento de datos personales con fines de vigilancia a través
de sistemas de cámaras o videocámaras”,
[https://www.agpd.es/.../videovigilancia/.../Instruccion_1_2006_videovigilancia.pdf], 20 de Julio de 2007.
[ISO07] International Organization for Standardization [ISO], “ISO2007”,

[http://www.iso27000.es/download/ControlesISO27002-2005.pdf] , 1 de Julio de 2007.
209
210

Modelos de Encriptacion PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modelos de Encriptacion PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

PROYECTO FIN DE CARRERA

Javier Ruiz-Canela López

MADRID, 7 de septiembre de 2009

Los sistemas de protección de la información pasan por el uso de sistemas de

La ciencia de la información no obstante debe de integrar dichos sistemas a las

El sistema de gestión de la seguridad de la información cubre las necesidades de

El perímetro de seguridad se compone de una estructura lógica computacional y una

The security perimeter consists of a logical structure and a computational physics

8. Plan de Seguridad Interna ................................................................................................. 90

1.1 Estado del Arte

1.2 Justificación del Proyecto

En este contexto de seguridad es necesario una “alfabetización tecnológica” de las

Una arquitectura de seguridad para un sistema de información está basada en la

Los sistemas de cifrado tradicionales están basados en criptografía asimétrica basados

2.1 Algoritmos criptográficos de factorización discreta

1. Escogemos dos números primos, por ejemplo p=3 y q=11.

3. fi(n) = (3-1) * (11-1) = 20.

4. Buscamos e: 20/1=0, 20/3=6.67. e=3.

5. Calculamos d como el inverso multiplicativo módulo z de e, por ejemplo,

6. e=3 y n=33 son la clave pública.

7. d=7 y n=33 son la clave privada.

8. Cifrado: Mensaje = 5, C = M^e mod n = 5^3 mod 33 = 26

9. Descifrado: M = C^d mod n = 26^7 mod 33 = 8031810176 mod 33 = 5

En 1976 Whitfield Diffie y Martin Hellman publicaron un protocolo criptográfico

Priv A= Número Entero Largo Priv B= Número Entero Largo

(5) Diffie Hellman

Como se puede observar en el recuadro superior el funcionamiento de este algoritmo es

Un problema asociado a este algoritmo sería el conocido como "hombre en el medio"

2.2 Algoritmos criptográficos de Curva Elíptica (ECC)

Con un conjunto de puntos G que forman la curva incluyendo el punto en el infinito

El algoritmo de curva elíptica de Firma Digital (siglas en inglés ECDSA(Jonson01)) es

Como se observa en el cuadro (5), ECDSA interviene en una PKI para:

*RSA security, empresa reguladora de los protocolos PKCS.

1. Un campo de tamaño q = p subyacente que define el campo finito GF. Con

3. Cálculos de la Curva elíptica: Calcular los puntos de la curva elíptica

MQV [Kraw05] es la abreviatura de Menezes-Qu-Vanstone, los autores de este

o HMQV no requiere pruebas de verificación de claves públicas, ya que la

Intercambio de Claves MQV/HMQV

A=g a mod p g,p,A

(6) Negociación de Claves MQV/HMQV

Negociación de claves con los protocolos MQV y HMQV:

1. El primer paso en la negociación entre la entidad y el agente es el pretratamiento

1.1. Se establecen un primo p y un generador g ∈ Z*p (conjunto de números reales

2. El segundo paso depende de según se utiliza MQV y HMQV.

o En la entidad se genera un número “e” con la formula e=H(Y,A) siendo H

3. El tercer y último paso es la generación de la clave privada es el mismo tanto con

o En la entidad se genera un número pa con la formula pa = (Y Be)y+ea.

2.3 Ventajas de los algoritmos de curva elíptica sobre los

(7) Rendimientos en ms entre RSA y ECC.

2.4 Aplicaciones de los algoritmos de curva elíptica

Una arquitectura de seguridad para un sistema de información se basa en el uso de

PKCS#13 es un estándar de criptografía para el uso de algoritmos asimétricos basados

Generación Firma Certificación

(8) Relación algoritmo ECC y servicios

(9) Relación áreas planes

3.2 Documento de política de seguridad de la información

La información tiene tres características fundamentales: su estructura, su manipulación

El factor humano es sin duda un factor fundamental en el planteamiento de una buena

El procesamiento de la información necesita la utilización de una estructura física de

La seguridad en informática no se puede asegurar al cien por cien como no se puede

3.3 Revisión de la política de seguridad de la información