SEGURIDAD INFORMÁTICA

1.1. ¿Qué se entiende por seguridad informática?

Podemos definir la SEGURIDAD INFORMÁTICA como cualquier medida que impida
la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos
efectos puedan conllevar daños sobre la información, autenticidad o integridad.

FIG 1. Seguridad de la informacion según norma ISO/IEC 17799

Fuente: Gómez (2014). Enciclopedia de la seguridad Informática

1.2. Objetivos de la seguridad informática

Entre los principales objetivos de la Seguridad Informática podríamos destacar los
siguientes:
 Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas
a la seguridad.
 Garantizar la adecuada utilización de los recursos y de las aplicaciones del
sistema.
 Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de
un incidente de seguridad.
 Cumplir con el marco legal Y con los requisitos impuestos por los clientes en
sus contratos.
Para cumplir con estos objetivos una organización debe contemplar cuatro planos de
actuación:
Técnico: Tanto a nivel físico como a nivel lógico
Legal: Algunos países obligan por ley a que en determinados sectores se implanten una
serie de medidas de seguridad
Humano: Sensibilización y formación de empleados y directivos
Organizativo: Definición e implantación de políticas de seguridad, planes, normas

1
 FIG 2. Seguridad informatica como proceso y no como producto
Fuente: Gómez (2014). Enciclopedia de la seguridad Informática

1.3. servicios de seguridad de la información

• Confidencialidad
• Autenticación
• Integridad
• Protección a la réplica
• Reclamación de origen
• Reclamación de propiedad
• No repudiación
• Confirmación de la prestación de un servicio
• Referencia temporal
• Autorización (control de acceso a equipos y servicios)
• Audibilidad o Trazabilidad
• Disponibilidad del servicio
• Anonimato en el uso de los servicios
• Certificación mediante Terceros de Confianza

1.4. Consecuencias de la falta de seguridad

 Horas de trabajo invertidas en las reparaciones y reconfiguración de los equipos
y redes.
 Pérdidas ocasionadas por la indisponibilidad de diversas aplicaciones y servicios
informáticos: coste de oportunidad por no poder utilizar estos recursos.
 Robo de información confidencial y su posible revelación a terceros no
autorizados: fórmulas, diseños de productos, estrategias comerciales, programas
informáticos.
 Filtración de datos personales de usuarios registrados en el sistema: empleados,
clientes, proveedores, contactos comerciales o candidatos de empleo, con las
consecuencias que se derivan del incumplimiento de la legislación en materia de
protección de datos personales vigentes en toda la Unión Europea y en muchos
otros países.

2
 1.5. Principio de “defensa en profundidad”
Aplicando este principio también se reduce de forma notable el número de potenciales
atacantes, ya que los aficionados y "script kiddies'" sólo se atreven con los sistemas
informáticos más vulnerables y, por tanto, más fáciles de atacar.

1.6. Nivel Gestión de la seguridad de la información

Podemos definir como aquella parte del sistema general de gestión que comprende la
política, la estructura organizativa, los recursos necesarios, los procedimientos y los
procesos necesarios para implantar la gestión de la seguridad de la información en una
organización.

1.7. Análisis y gestión de riesgos en un sistema informático

Un proceso de gestión de riesgos comprende una etapa de evaluación previa de los
riesgos del sistema informático. que se debe realizar con rigor y objetividad para que
cumpla su función con garantías. Para ello, el equipo responsable de la evaluación debe
contar con un nivel adecuado de formación y experiencia previa, así como disponer de
una serie de recursos y medios para poder realizar su trabajo, contando en la medida de
lo posible con el apoyo y compromiso de la Alta Dirección.
En el proceso propiamente dicho de gestión de riesgos se trata de definir un plan para la
implantación de ciertas salvaguardas o contramedidas en el sistema informático, que
permitan disminuir la probabilidad de que se materialice una amenaza, o bien reducir la
vulnerabilidad del sistema o el posible impacto en la organización, así como permitir la
recuperación del sistema o la transferencia del problema a un tercero (mediante la
contratación de un seguro, por ejemplo).

FIG 3. Analisis y gestion de riesgos en una organizacion

Fuente: Gómez (2014). Enciclopedia de la seguridad Informática

Seguidamente se presentan los principales conceptos y definiciones que es necesario

manejar a la hora de estudiar el análisis y la gestión de riesgos de una organización

3
 1.7.1 Recursos del sistema
1.7.2 Amenazas
1.7.3 Vulnerabilidades
1.7.4 Incidentes de seguridad n
1.7.5 Impactos
1.7.6 Riesgos
1.7.7 Defensas, salvaguardas o medidas de seguridad
1.7.8 Transferencia de riesgo a terceros

LA IMPORTANCIA DEL FACTOR HUMANO EN LA SEGURIDAD

La implantación de unas adecuadas medidas de seguridad informática exige contemplar

aspectos técnicos, organizativos  y legales, no obstante, en muchas ocasiones se presta
muy poca atención a la importancia del factor humano en la seguridad informática.

Las personas representan el eslabón más débil dentro de la seguridad informática a

diferencia de los ordenadores, las personas pueden no seguir las instrucciones
exactamente tal y como fueron dictadas, además, pueden llevar a cabo acciones que
provoquen un agujero de seguridad en la red de la organización como por ejemplo la
instalación de software malicioso en su ordenador, revelación de información sensible a
terceros, entre otros.

Es fundamental, por lo tanto, contemplar el papel de las personas y su relación con los
sistemas y redes informáticas de la organización. Además, la disponibilidad en Internet
de todo tipo de herramienta y programas, así como la documentación necesaria para su
instalación y configuración ha venido a complicar la situación para los responsables de
informática de las organizaciones, ya que ahora la "tentación" se encuentra a un simple
clic de distancia

En definitiva, un principio básico a tener en cuenta desde el punto de vista de la

seguridad informática es que todas las soluciones implementadas resulta inútiles ante
desconocimiento, más 75% de los problemas inherentes a la seguridad se producen por
fallos en la configuración de los equipos o debido a un mal uso por partes del personal
de la propia organización.
Los principales expertos en materia de seguridad informática ya nos han alertado estos
últimos años sobre la necesidad de contemplar el factor humano como uno de los más
importante y decisivos a la hora de implementar un buen sistema de gestión de
seguridad información.
En palabras de Kevin Mitnick, uno de los crackers más famosos del mundo por
conocidas estafas utilizando Ingeniería Social como principal arma y actual dueño de
una consultora de seguridad que lleva su nombre: "Usted puede tener la mejor
tecnología, Firewalls, sistemas de detección de ataques, dispositivos biométricos, etc.
Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más.
Tienen todo en sus manos".

4
El propio experto en criptografía y seguridad Bruce Schneier llegaba a afirmar "si
piensas que tecnología puede resolver tus problemas de seguridad, entonces no
entiendes el problema y no entiendes la tecnología". Es por ello, que la implantación de
un Sistema de Gestión de Seguridad Informática debe considerar el factor humano como
uno de sus elementos claves, contemplando aspectos como:

1) Implementación de medidas de seguridad informática.

2) Adecuada formación y sensibilización de los empleados.
3) Implicación de los responsables y directivos.
4) Aprobación de reglamentos internos sobre el uso de herramienta informáticas en
la organización.
5) Cualquier otra medida de aporte positivo

Funciones y Responsabilidades De Los Empleados y directivos

2. Acuerdos de confidencialidad.

Un acuerdo o contrato de confidencialidad (en inglés non-disclosure agreement o NDA)

es un contrato legal entre al menos dos entidades para compartir material confidencial o
conocimiento para ciertos propósitos.

FIG 4. Acceso a ficheros con datos de carácter personal

Fuente: Gómez (2014). Enciclopedia de la seguridad Informática

5
1 Inclusión de la seguridad dentro de responsabilidades contractuales.

Todos los términos y las condiciones del trabajador tienen que reflejar la política de la
empresa además de aclarar los siguientes términos:

1. Todos los empleados, contratistas y terceros a los que se la ha concedido acceso a la

información sensible que debe firmar un acuerdo de confidencialidad, ya que no
pueden divulgar el acceso a las instalaciones del procesamiento de información.
2. Las responsabilidades y los derechos de las subcontratas, por ejemplo en relación
con toda la legislación de la protección de datos personales.
3. Las responsabilidades de la clasificación de la información y de la gestión de activos
que se encuentran asociados a los Sistemas de Gestión de Seguridad de la
Información y los servicios que son utilizados por el trabajador o la empresa
subcontratada.
4. Las responsabilidades de los trabajadores o terceras personas necesarias para
maniobrar con la información que reciben las compañías.
5. Todas las responsabilidades por parte de la empresa para informar al personal, en la
que se incluye información utilizada por el trabajo realizado por la organización.
6. Las responsabilidades se extienden fuera de las hipótesis establecidas por la
organización y que se encuentran fuera del periodo normal de trabajo.
7. Las acciones que se toman si el trabajador o contratista no cumple con todos los
requisitos establecidos para la Seguridad de la Información de la organización.

1. Selección rigurosa del personal.

Según establece la norma ISO 27001 se tienen que llevar a cabo listas de verificación
antes de que estén todos los candidatos para el empleo, los contratistas y terceras
personas. Se debe encontrar en concordancia con la legislación vigente y la ética, el
listado de verificación debe tener en cuenta la privacidad, la protección de todos los
datos del personal y el empleo tiene que estar basado en lo siguiente:

 La disponibilidad de referencias satisfactorias sobre todas las actitudes, como

por ejemplo, una del personal y otra de la empresa.
 La comprobación del Curriculum Vitae del candidato.
 La confirmación de la certificación académica y profesional.
 La empresa tiene que considerar la realización de una comprobación mucho más
detallada a lo largo del tiempo, cuando una persona acceda a un puesto de
trabajo, con un contrato inicial, teniendo en cuenta los recursos necesarios para
tratar la información y en particular se trata de información sensible, es decir,
información financiera.

Las funciones y obligaciones de cada una de las distintas personas que tienen acceso a
los datos y a los servicios del sistema de información de una organización deberían estar
claramente definidas en todo momento.

6
Ingeniería Social

 Administradores del sistema y de la red informática

 Desarrolladores de aplicaciones
 Técnicos responsables del mantenimiento de los equipos y de la red informática
 Usuarios finales del sistema
 Directivos
 Personal externo: empresas de servicios que tienen acceso a los recursos
informáticos de la organización.

Formacion De Los Usuarios

• Cada equipo asignado a un puesto de trabajo estará bajo la responsabilidad de

uno de los usuarios autorizados en el sistema informático de la organización.
• Antes de abandonar el equipo del puesto de trabajo, ya sea temporalmente o bien
al finalizar su turno de trabajo, deberá cancelar todas las sesiones activas y
conexiones con los servidores de la red corporativa.
• Utilizar un protector de pantallas protegido con contraseña. Bloquear la máquina
al alejarse de ella.
• Impedir que otros usuarios puedan utilizar su identidad para acceder al sistema
informático.
• No introducir CD-ROMs, USB u otros medios sin la comprobación previa de
que no contienen riesgos de ninguna clase.
• No se cambiará la configuración del equipo ni se intentará solucionar posibles
problemas de funcionamiento. En dicho caso, se deberá comunicar
inmediatamente a la persona encargada del mantenimiento de los equipos.
• Sólo se utilizarán las herramientas corporativas , quedando prohibida la
instalación de cualquier software en las computadoras de la empresa que no haya
sido expresamente autorizado.
• Discos y documentos con información sensible deberán guardarse bajo llave.
• En el caso de impresoras, asegurarse que no queden documentos impresos en la
bandeja de salida que contengan datos protegidos u otra información sensible.
• Deberá informarse de cualquier incidencia que pudiera afectar a la seguridad de
la red informática o al normal funcionamiento del sistema.
• Los equipos y medios informáticos de la organización no pueden ser sacados
fuera de ésta sin la correspondiente autorización de los responsables.
• Se limitará el acceso a Internet solamente a fines profesionales

El Control y Supervisión De los Empleados

La forma de asegurarse que el intercambio de información se lleva a cabo

adecuadamente y bajo la protección necesaria, es a través de la elaboración de una

7
política que incluya los medios empleados en esta actividad. En dicha política se debe
incorporar:

 Los procedimientos definidos para gestionar correctamente los medios

utilizados.
 Utilización de firma electrónica.
 Comprobaciones a través de controles que impidan modificaciones,
interpretaciones, duplicados o eliminación de información.
 Inspecciones de protección contra el código malicioso.
 Metodologías de ingeniería social.

ESTANDARIZACIÓN Y CERTIFICACIÓN EN SEGURIDAD INFORMÁTICA

El propósito principal de los estándares son el de suministrar normas de seguridad a los

fabricantes de productos, para definir métricas de evaluación, certificación y de acreditación, y
lo mas importante para transmitir confianza necesaria a los usuarios y consumidores.
Considerándolos unos aspectos que tanto consumidores y vendedores podrán tomar en
cuenta para una mejor experiencia en el uso del producto. Para comenzar a describir el mundo
de la estandarización es muy necesario distinguir los términos de evaluación, certificación y
acreditación. El primero consiste en el análisis de la capacidad de un determinado producto, el
segundo es el proceso que permite determinar la capacidad de un producto, y el tercero
permite valorar la capacidad de los sistemas informáticos para resistir ante un ataque y
delegarle un nivel de confianza.

Existen instituciones que se encargan de este tipo de estandarización, por un lado tenemos a la
Comisión Electrotécnica Internacional (IEC), encargado de estandarización de electrotecnia y
electrónica y por otra parte la Organización Internacional de Estandarización (ISO), dirigido a
las otras ramas de la tecnología e informática.

FIG 5. Formas de organización en la ISO

Fuente propia

Los documentos desarrollados por la ISO/IEC, son de dos tipos:

• NORMA INTERNACIONAL (ISO/IEC): Norma elaborada por los participantes de un CT,

SC, o GT para después ser aprobado por votación de todos los participantes.

8
 • INFORME TÉCNICO (TR): Documento técnico para informar sobre los progresos
técnicos de un tema determinado, brindar recomendaciones, datos e información a los
que se encuentran contenidos en una norma.

Dentro de la ISO/IEC el sobcomite técnico ISO/IEC JTC 1/SC 27 “técnicas de seguridad-

tecnologia de la información” tiene por trabajo la normalización de métodos genéricos y
técnicas para la seguridad de las tecnologías de la información. Esta incluye la identificación de
requisitos genéricos de los servicios de seguridad, el desarrollo de técnicas y mecanismos de
seguridad, desarrollo de guías de seguridad, desarrollo de soporte y la normalización de
algoritmos criptográficos.

Por otro lado, a nivel de Europa las siguientes entidades se encargan de emitir principalmente
Normas Europeas, Especificaciones Técnicas e Informes Técnicos.

FIG 6. instituciones encargados de la estandarización en Europa

Fuente propia

FIG 7. Estructura de grupos de trabajo en el SC27

Fuente propia

9
4.1 ESTÁNDARES ESTADOUNIDENSES

4.1.1 TCSEC: TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA

También conocido como “el libro naranja”, fueron desarrollados en 1985 por el Centro de
Seguridad Informática de los EEUU y definen varias clases de sistemas en función de su nivel
de seguridad.

FIG 8. Clasificación del TCSEC de EEUU

Fuente propia

4.1.2. FEDERAL CRITERIA

Se refiere a una evolución del TCSEC presentada en el año 1992

4.1.3. FISCAM: Federal Information Systems Controls Audit Manual

Estándar de auditoria y control de seguridad de los sistemas de Información Federal,

desarrollado en la oficina de Contabilidad general (General Accouting Office) de EEUU.

4.1.4. NIST SP 800

Estándar para la certificación de sistemas de información, desarrollado por NIST (National

Institute for Standars and Technology), organismo dependiente del departamento de comercio
de EEUU.

10
4.2 ESTANDARES EUROPEOS

4.2 ITSEC: Information Technology Security

Norma planteada como la evolución y adaptación de los estándares de EEUU.

Desarrollados de manera conjunta por Francia, Alemania, Holanda y el Reino Unido en el año
1991, tomando como referencia el estándar TCSEC en EEUU y desarrollando también la
metodología de evaluación.

4.2.3 Agencia Europea de Seguridad de la Información y las Redes

También conocido como ENISA (European Network and Information Security Agency) creado
por la Comisión Europea en marzo del 2003 con el objetivo de:

• Obtener un consenso en materia de seguridad informática

• Proveer asistencia para la aplicación a nuevas normativas

• Dirigir desarrollo de esas materias

• Avisar y coordinar acerca de la información recopilada

• Dar soporte a la certificación y estandarizacion del mercado.

• Facilitar el contacto con terceros países

4.3 ESTÁNDARES INTERNACIONALES

4.3.1 ISO/IEC 13335. (Directrices para la Gestión de la Seguridad), marco de referencia para las
técnicas de gestión de riesgos y las técnicas de selección de medidas de seguridad o
salvaguardas, publicado actualmente como la ISO/IEC 27005.

4.3.2 ISO/IEC 15408. Criterios comunes para la evaluación determinados productos de

seguridad, facilitando el proceso de certificación.

4.3.3 ISO/IEC 17799. Estándar que define un código de las buenas practicas, mediante un
conjunto de controles a ser aplicados para la gestión de información.

4.3.4 ISO/IEC 18045. (Methodology for IT Security Evaluation) Describe las acciones que debe
llevar a cabo el evaluador y establece las pautas para realizar las evaluaciones
correspondientes.

4.3.5. ISO/IEC 31000. Risk Managament

11
4.3.4 ISO/IEC 27000. (Information technology - Security techniques - Information security
management systems - Requirements) Conjunto de normas y estándares internacionales, que
tiene como fin ayudar a organizaciones de todo tipo y tamaño a implantar y operar un Sistema
de Gestión de la Seguridad de la Información (SGSI). Fue preparada por el comité ISO/IEC JTC 1
SC27. Brinda una visión general de normas y una introducción de los sistemas de gestión de
SGSI. Basada en el modelo PDCA (Plan- Do- Check- Act). También define los términos a
utilizarse en la familia de normas de SGSI.

4.3.5 ISO/IEC 27001. Norma principal de requisitos de un SGSI, deberá ser certificado por
auditores externos a las organizaciones, explica a realce lo que consiste el modelo PDCA.
También contempla una lista de los objetivos de control y controles que desarrolla la ISO
27002

4.3.6 ISO/IEC 27002. (anteriormente denominada ISO 17799). Describe una guía de buenas
practicas mediante los objetivos de control y controles recomendados para un SGSI. Contiene
11 dominios, 39 objetivos y 133 controles.

4.3.7 ISO/IEC 27003. Contiene una guía de implementación de SGSI e información acerca del
uso del modelo PDCA y de los requisitos de sus diferentes fases.

4.3.8 ISO/IEC 27004. Especifica las métricas y las técnicas de medida aplicables para
determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles
relacionados.

4.3.9 ISO/IEC 27005. Consiste en una guía para la gestión de riesgo de una SGSI en apoyo a la
ISO 27001.

4.3.10 ISO/IEC 27006. Especifica los requisitos para acreditación de entidades de

auditoría y certificación de sistemas de gestión de seguridad de la información.

REFERENCIA GENERAL

Gomez, A. (2014). Enciclopedia de la Seguridad Informática, Madrid – España:

Editorial y publicaciones RA-MA

12