Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La gestión de la seguridad de la información tiene como propósito proteger los activos de la organización,
considerando como activo cualquier recurso asociado con la información (datos y sistemas que los
soportan) que intervenga en los procesos de negocio de la entidad.
Solamente aquellas organizaciones con un alto grado de madurez en su proceso de gestión de la seguridad
de la información consiguen el equilibrio necesario: riesgo/coste.
La implantación de políticas y normativas impacta en toda la organización, lo que exige que se involucren
todos los empleados y colaboradores, incluyendo el necesario liderazgo de la dirección.
La Gestión de la Seguridad de la Información debe ser un proceso formal que debe estar alineado con las
necesidades del negocio de la organización.
Página 1 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Los controles deben establecerse para asegurar que se cumplen los objetivos específicos de
seguridad de la organización y consiguen mitigar los riesgos identificados.
· La gestión de la seguridad se apoya en un proceso de mejora continua que debe adaptarse a los
nuevos escenarios de riesgo tanto de la organización como de su entorno.
A continuación, se presentan diez principios generales que son aspectos básicos de la seguridad de la
información y que, en consecuencia, podrían incluirse en el documento de política de seguridad de cualquier
organización.
2. La Información debe ser valorada en cuanto a los daños que produciría la degradación de las
dimensiones básicas de la seguridad.
Confidencialidad.
Integridad.
Disponibilidad.
4. Las medidas de seguridad se aplicarán en proporción a los daños que produciría la pérdida de
confidencialidad, integridad o disponibilidad. La valoración se puede realizar respecto a diferentes
criterios (cuantitativamente, cualitativamente...) pero, en todo caso, se debe determinar la
importancia de ese activo y el impacto que supone una pérdida de cualquiera de sus atributos
básicos de seguridad. La valoración dependerá del tipo de negocio de la organización. Un mismo
activo se valorará de distinta forma según su participación en los procesos de negocio. Una
empresa que ofrezca un servicio 24x7 valorará la disponibilidad como crítica, sin embargo para un
despacho de abogados la confidencialidad podrá tener mayor relevancia.
Página 2 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
6. La Seguridad de la Información es responsabilidad de todos los miembros de la Organización, los
cuales deberán estar adecuadamente formados y concienciados.
7. Las medidas para la seguridad de la Información deben ser coordinadas e integradas con el resto
de Áreas que conforman la Seguridad de la Organización, con el fin de conformar un Sistema
Integral de Seguridad coherente y eficaz.
Es necesario definir las funciones de las dos figuras más importantes de la gestión de la seguridad
de la información en la empresa:
Comité de Dirección:
· Resuelve los asuntos interdisciplinarios y apruebe las directrices y normas.
· Asesora a la Gerencia/Propiedad en relación con la planificación de la estrategia de
seguridad de la información.
· Traduce la política de seguridad en un plan de seguridad.
· Verifica la efectividad de la política de seguridad.
· Promueve la concienciación en seguridad de la Información.
· Asesora sobre recursos.
8. Los controles implantados serán compatibles con la legislación vigente vinculante a la Organización,
tanto a nivel nacional como internacional.
10. Se establecerá un Plan para gestionar la continuidad de los procesos críticos de la Organización
que permita en caso de un incidente de seguridad grave, evaluar los daños, limitar sus
consecuencias y adoptar medidas de reacción. Es necesario el desarrollo de un plan de continuidad
del negocio. Este plan debe comprender por un lado las actividades a realizar como contingencia
ante un posible desastre, y por otro lado las tareas a llevar a cabo para la restauración de la
actividad normal de la empresa después de haber conseguido superar el desastre ocurrido.
Página 3 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Todos los componentes técnicos, organizativos y procedimentales que velan por la seguridad de la
organización, conforman la arquitectura de seguridad. La conjunción y coordinación de estos elementos
permiten mitigar y garantizar la integridad y confidencialidad de la organización.
Los sistemas internos de una organización suelen ser lo suficientemente complejos y con tantas relaciones
entre ellos que es muy difícil garantizar su seguridad. Ante esta situación se recurre a otros sistemas más
sencillos, que pueden ser identificados como sistemas confiables. Entre ellos, cabe destacar los firewalls o
cortafuegos, que permiten filtrar el tipo de comunicación que se establece entre los distintos entornos.
Firewall (cortafuego) es un conjunto de elementos que permiten aislar una red de otra, normalmente redes
públicas, como Internet, de redes privadas. Existe la idea generalizada de que un firewall es una máquina,
aunque no debe interpretarse así.
Las funcionalidades que permiten a un firewall asegurar una red es la simplificación de la gestión de la
seguridad. Al concentrar en un número reducido de dispositivos la seguridad, es más factible implantar
medidas de seguridad y controlar todos aquellos factores relevantes.
Funciones de seguridad:
· Filtrados de paquetes
Restricciones de conectividad que permiten que sólo aquellos paquetes de información que se
consideran normales y esperables pasen al siguiente nivel, descartando el resto.
· Monitorización y auditorías
Los firewalls pueden ser configurados para registrar todos aquellos eventos que tienen un riesgo
asociado y, en los casos en los que exista un alto riesgo, emitir alarmas que pongan sobre aviso a
administradores y responsables del entorno.
· Respaldo y recuperación
Para la correcta explotación de un sistema informático hay una serie de tareas que se debe cubrir
en el ámbito de la seguridad. Son fundamentales la velocidad y frecuencia con que se hace copias
de seguridad y la capacidad de recuperar copias íntegras ante desastres en los sistemas.
Página 4 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Integración de los elementos
Todos estos elementos técnicos, procedimentales y organizativos, conjugados con el objetivo de
mitigar los riesgos detectados y proteger los elementos críticos, conforman la arquitectura de
seguridad en sentido amplio.
· Política antivirus
Los sistemas antivirus cada vez son más complejos permitiendo identificar virus conocidos mediante
la identificación de ciertos patrones. Al igual que los antivirus, los sistemas de detección de intrusos
se enfrentan ante el reto de identificar múltiples tipos de ataques con patrones de comportamiento
muy cambiantes.
· La firma digital
Actualmente, los aspectos que más atención captan en torno a la seguridad, son aquellos
relacionados con la criptografía y sus utilidades, los virus y los sistemas de detección de intrusos.
En España la ley sobre firma digital ha favorecido el interés y la difusión de las llamadas
infraestructuras de clave pública. Una infraestructura de clave pública PKI es un conjunto de
elementos técnicos y organizativos que permiten cubrir los principios de la seguridad y aportar
confianza a los entornos comerciales, permitiendo de una forma segura: autenticar a usuarios,
gestionar el no repudio de las operaciones y proteger las comunicaciones como principales
aplicaciones prácticas.
· Protección de comunicaciones
El principal mecanismo de protección de las comunicaciones es la utilización de sistemas de
encriptación. Los sistemas de cifrado no son sólo utilizados en la protección de las comunicaciones,
ya que juegan un papel fundamental en la autenticación de usuarios y en el no repudio de las
operaciones. Dado que Internet fue concebido como un sistema abierto, en un principio no se
incluyeron mecanismos de protección. Este hecho ha obligado al desarrollo de algoritmos de cifrado
que aplicados sobre la información transmitida la convierten en ilegible excepto para los
interlocutores que tienen las claves necesarias para la desencriptación de la información. La
autenticación es el proceso de verificar la identidad de un individuo o la pertenencia de un grupo de
individuos o funciones. Los sistemas más sencillos utilizan una combinación de usuario y palabra
clave, y alguno de los más complejos utilizan sistemas biométricos, actualmente en alza. Los
mecanismos de autorización gestionan los derechos, qué pueden hacer y qué no pueden hacer los
usuarios una vez autenticados. El no repudio es la capacidad de un sistema para demostrar que las
operaciones o transacciones han sido efectivamente ejecutadas por un individuo o entidad.
· Protocolos de seguridad
Actualmente se trabaja en la mejora y desarrollo de nuevos estándares y sistemas de seguridad,
desde el uso de protocolos seguros HTTPS, pasando por SSL o sistemas de cifrado fuerte de 128
bits o superiores.
§ SET: Visa y Mastercard para pagos seguros con tarjeta de crédito a través de la red.
§ SSL: Para intercambio de información de forma segura entre cliente y servidor.
§ OFX (Open Finantial Exchange): CheckFree, Intuit y Microsoft. Intercambio de datos financieros
entre entidades financieras, empresas o particulares.
§ OBI (Open Buying on the Internet): American Express y Supply Works. Estilo estándar para
adquisiciones a través de EDI o de Internet.
Página 5 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
El hacking comprende técnicas informáticas que pretenden ganar el acceso a un sistema informático con el
objetivo de llevar al límite los sistemas para encontrar vulnerabilidades o información relativa a seguridad.
El hacker generalmente no accede a un sistema para adueñarse de información con ánimo de lucro. En
caso de actuar con ese fin, se denomina cracker.
Podemos definir como ataques, todas aquellas acciones que suponen una violación de la seguridad de
nuestro sistema, en términos de confidencialidad, integridad o disponibilidad.
El protocolo IP
La necesidad de una seguridad de red basada en el protocolo IP, es grande y continúa en aumento. En el
mundo empresarial de hoy día interconectado masivamente a Internet, Intranets, sucursales y acceso
remoto, la información sensible cruza las redes constantemente.
El reto para los administradores de red y otros profesionales de informática es asegurar que este tráfico
esté:
o A salvo de modificaciones de datos mientras está enrutado.
o A salvo de interceptación, visualización o copia.
o A salvo de ser accedido por partes no autenticadas.
· Sniffing
Lectura del tráfico de la red para obtener alguna información. Generalmente utilizados para leer
correos electrónicos y obtener contraseñas que viajan en texto plano.
Página 6 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Programas como el Ethereal o el Network Monitor permiten leer los paquetes IP de la red.
· Troyanos
Software o programa capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a
través de la red, con el fin de recabar información o controlar remotamente a la máquina anfitriona.
Tienen dos componentes principales: el programa servidor, que se instala en el sistema de la
víctima y el programa cliente que actúa en el ordenador del atacante.
El BackOffice y el NetBus son los más famosos. También se utiliza el Poison Ivy.
No necesariamente provoca daños porque no es su objetivo.
Se alojan dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia
inocente, que se instala en el sistema al ejecutar el archivo que lo contiene.
· IP Spoofing
Suplantación de identidad. El atacante utiliza su equipo como si realmente fuera otro, a nivel de
dirección origen IP.
Existe abundante software en la Web que automatiza este tipo de ataque.
· DNS Spoofing
Manipulación de los paquetes que son enviados al servidor de DNS. Generando entradas erróneas
en el servidor DNS.
Muy utilizado para redireccionar a la victima a una web clonada, para el robo de información.
La víctima cree estar viendo la página web original cuando en realidad es la del atacante.
Página 7 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Wi-Fi es una marca de la Wi-Fi Alliance, la organización comercial que adopta, prueba y certifica que los
equipos cumplen los estándares 802.11 de definición de comunicaciones wireless.
Amenazas Wi-Fi: en una encuesta realizada en noviembre de 2007 con 560 entrevistas, se preguntaba a
los participantes si alguna vez habían utilizado la conexión Wi-Fi de un tercero sin su permiso. El resultado
fue el siguiente:
Para evitar las amenazas antes descritas, y basados en los dos principios de seguridad anteriores, tenemos
los siguientes protocolos:
Página 8 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
WEP (Wired Equivalent Privacy, 1997).
Se utiliza para evitar:
Capturas externas: Confidencialidad.
Accesos no autorizados: Control de Acceso.
Modificaciones de mensajes transmitidos: Integridad.
Debilidades:
Usa el algoritmo RC4 de cifrado simétrico.
No tiene protección contra la replicación de paquetes.
El algoritmo de control de integridad es débil. El cifrado es fácil de romper
Etc.
802.1x
Con el fin de solucionar los problemas del WEP surge el protocolo 802.1x, que pocas empresas utilizan
debido a su complejidad de instalación.
El protocolo 802.1x ofrece un marco en el que se lleva a cabo un proceso de autentificación del usuario,
así como un proceso de variación dinámica de claves, todo ello ajustado a un protocolo, denominado
EAP (Extensible Authentication Protocol).
Los usuarios se encuentran autentificados y con una clave única, que se va modificando de manera
automática y que es negociada por el servidor y el cliente de manera transparente para el usuario. No
tiene que acordarse de cambiar periódicamente la clave, ya lo hace el protocolo.
WPA-2 / 802.11i
Definido por el IEEE (802.11i) y la Wi-Fi Alliance (WPA-2).
Contempla la mayoría de los beneficios que aportaba el WPA.
Usa AES-CCMP como algoritmo de cifrado.
Usa AES-CBC-MAC como algoritmo de integridad.
Exige la renovación del hardware Wi-Fi, no es compatible con los anteriores protocolos.
Para garantizar la seguridad de una solución de movilidad es necesario garantizar la seguridad de todos los
elementos que conforman la cadena “extremo a extremo” de la comunicación:
Para una empresa, el foco a la hora de diseñar un sistema seguro en movilidad de voz o datos, debe ser:
Seguridad del dispositivo
Seguridad adicional en el tramo radio
Seguridad en las conexiones con la Intranet
A continuación se van a repasar las diferentes soluciones que existen como soluciones de movilidad.
Repasamos a continuación los tipos de ataques que tienen las redes móviles:
· Intercepción
Es la capacidad de que un intruso intercepte las señales de voz y/o datos de usuario
· Suplantación de un usuario
Es la capacidad mediante la cual un intruso envía señalización o datos a la red en un intento de hacer
creer a la misma que han sido originados por otro usuario.
· Suplantación de la red
Es la capacidad mediante la cual un atacante envía señalización o datos a la víctima, intentando
hacer creer al usuario que han sido generados por la red auténtica.
· Hombre en el medio
Es la capacidad mediante la cual el intruso se interpone entre la víctima y la red, teniendo la
capacidad de interceptar, modificar, borrar, reordenar, reenviar señalización y datos entre ambas
partes.
· Localización de un usuario
El atacante obtiene la posición geográfica de un usuario en base a la información de señalización de
la red.
Página 10 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
1.4.1. Introducción
El comercio electrónico no está exento de ciertos problemas que dificultan su utilización, como son
principalmente los siguientes:
· La falta de seguridad, confidencialidad, fiabilidad, integridad y autenticación de los datos.
· La escasa utilización de nuevos medios de pago (dinero digital, moneda virtual, tarjetas
inteligentes), en gran parte debida a las reservas sobre su seguridad.
· La disponibilidad de infraestructuras que permitan realizar las transacciones con mayor velocidad y
seguridad.
· Etc.
· Confidencialidad.
· Integridad.
· Autenticación.
· Irrefutabilidad.
· Seguridad jurídica.
· Seguridad tecnológica.
Las demandas del consumidor conducen a la necesaria regulación del comercio electrónico para dar
respuesta a las inseguridades.
Problemas
· La seguridad
La política de seguridad es un documento fundamental para permitir una actuación homogénea en
el área de seguridad.
En el diseño e implantación del conjunto de dispositivos de seguridad de la red y los sistemas, se
implantan los sistemas que dan soporte, tanto a la seguridad como a la funcionalidad del entorno.
La seguridad no lleva un desarrollo independiente, sino que está directamente relacionada con otros
componentes técnicos de la instalación: comunicaciones, servidores, base de datos, aplicaciones,
etc.
Una vez implantado el sistema es fundamental saber qué está pasando en él y tener la capacidad
Página 11 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
de reaccionar si se produce ataques. Esta es la fase de seguimiento y monitorización. La clave es
definir las variables que pueden ser consideradas de riesgos, así como definir las acciones para
responder ante situaciones.
Es necesario hacer un análisis de los puntos mejorables y de los nuevos riesgos no identificados en
fases anteriores. Esta es la fase de evaluación y adaptación. A partir de este análisis se podrán
definir nuevas medidas, adaptar las existentes y comenzar un nuevo ciclo, creando un proceso
continuo de mejora que permita cubrir la seguridad de los entornos.
· Factores destacables
Hay una serie de factores diferenciadores, que hacen que no sólo organizaciones que
tradicionalmente han prestado una gran atención a la seguridad, como entidades financieras o
gobiernos, estén preocupadas por este concepto.
Falta de conocimiento físico entre las partes.
Volatilidad de las relaciones.
Ubicuidad del acceso.
Conjunto de redes públicas interconectadas.
Complejidad técnica de las soluciones.
Continua evolución del negocio y de las tecnologías.
Importancia de la imagen de una organización por su posicionamiento en Internet.
· Tratamiento digital
Otro factor diferenciador que hace más importante la necesidad de protección de la información es
que puede ser tratada digitalmente y de forma masiva, es decir, cuando la información se
almacena en soporte físico, no existen las posibilidades de normalización y análisis que hace que un
conjunto de datos sin valor, al aglutinarse y analizarse, tengan un gran valor.
De cara a seleccionar qué medidas de seguridad son necesarias, lo primero que hay que entender
son los riesgos y pérdidas a los que nos enfrentamos en nuestro entorno.
· Implantación
Aspectos a tener en cuenta a la hora de implantar un entorno de seguridad. Para implantar un
entorno de seguridad en un comercio electrónico, debemos conjugar adecuadamente tres
componentes:
1. Tecnología.
2. Políticas y procedimientos.
3. Recursos Humanos.
· Fases de la implantación
La política de seguridad es un documento fundamental para permitir una actuación homogénea en
el área de seguridad. Para asegurar la efectividad de las políticas es fundamental que estén
promovidas por la dirección.
Una vez implantado el sistema es fundamental saber qué está pasando en él y tener la capacidad
de reaccionar si se produce ataques. Esta es la fase de seguimiento y monitorización. La clave
es definir las variables que pueden ser consideradas de riesgos, así como definir las acciones para
responder ante situaciones. Los sistemas de detección de intrusos y definición de alarmas permiten
definir eventos de riesgo, definir la emisión de alarmas y la ejecución de procesos automáticos que
den respuesta a ataques.
Página 12 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Es necesario hacer un análisis de los puntos mejorables y de los nuevos riesgos no identificados en
fases anteriores. Esta es la fase de evaluación y adaptación. A partir de este análisis se podrán
definir nuevas medidas, adaptar las existentes y comenzar un nuevo ciclo, creando un proceso
continuo de mejora que permita cubrir la seguridad de los entornos.
· Ciclo de vida
La seguridad de un entorno no se compra y se instala, es un proceso continuo de análisis,
verificación, diseño y mejora. Hay que entender la seguridad como un conjunto de medidas que
deben cubrir los riesgos y estar en continua revisión. El error más frecuente es fortificar los accesos
más obvios y limitar la protección de otras vías.
De cara a cubrir el objetivo final se puede establecer un ciclo cuyo fin es el mantenimiento de un
nivel adecuado y homogéneo de seguridad a lo largo del tiempo, distinguiendo entre los siguientes
apartados:
Análisis de riesgos
Se hace una identificación de los recursos de la organización y del tipo de atacantes y
ataques a los que se pueden enfrentar.
Identificación de recursos
Los recursos deben identificarse con elementos técnicos y no técnicos, que comprende los
procesos de negocios de las organizaciones.
Una correcta identificación de riesgos debe cubrir aspectos materiales como: ordenadores,
sistemas de comunicación, datos; y otros aspectos intangibles como salud de los
empleados, disponibilidad, privacidad, etc.
Causas
· Robo o fraude
Este objetivo es el más evidente ya que puede reportar un beneficio al atacante y daño directo a la
empresa. El riesgo que ocurra está relacionado con las personas que tienen mayor conocimiento
interno de la empresa.
Página 13 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Interrupción-empeoramiento
Es un ataque que cada vez se da más, tanto en redes públicas como en Internet. No se busca un
beneficio directo para el atacante, sino lograr un efecto visible por parte de la empresa a sus
clientes.
· Alteración de la información
En algunos casos puede que los objetivos del atacante estén relacionados con la exactitud de la
información contenida en un sistema, por ejemplo: registro de morosos de una empresa.
· Robo de registros
Partiendo del principio “información es poder” y que la información contenida en los sistemas puede
afectar tanto a la privacidad de las personas como a los secretos industriales o información sensible
para las empresas, un objetivo claro para un atacante sería conseguir y divulgar, mediante su venta,
información que es guardada celosamente por las organizaciones.
Entre los atacantes cabe destacar: hackers, investigadores, delincuentes, etc. Cada uno de ellos dispondrá
de medios objetivos, intereses y formas de actuar diferentes.
· Los virus informáticos y otras amenazas contra seguridad han sido problemas muy conocidos
durante un largo periodo de tiempo.
· Mientras que los primeros virus eran diseñados para destruir y colgar ordenadores, los creadores de
hoy en día de software malicioso son con creces mucho más avanzados y tienden a tener incentivos
económicos.
· Los hackers pueden robar su información privada con propósitos económicos, o pueden monitorizar
sus hábitos de navegación en Internet para proporcionarle publicidad a medida.
· Hay muchos peligros en Internet. Los usuarios de redes inalámbricas (WLAN) y Bluetooth están
más expuestos a amenazas que otros.
Página 14 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Los usuarios móviles deberían desactivar la conexión Bluetooth cuando no esté en uso.
· Otro peligro posible es el riesgo de pérdida física de datos. Con más gente trabajando en casa y
fuera de la oficina de la empresa, el riesgo de robo físico está creciendo.
ü Carpetas Compartidas
Tenga cuidado de cómo su PC está configurado antes de conectar a Internet. Es vital que sea
consciente de las carpetas/recursos compartidos.
ü Configure su Navegador
Configure su navegador web para preguntarle si permite “contenido activo”.
Página 15 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
ü Haga copias de seguridad de la información relevante
El borrado de datos puede ocurrir por accidente, actividad de virus u otro código malicioso, o por
usuarios que consiguen acceso a sus datos.
1.4.6. Malware
· Spyware
Spyware, como su nombre indica, es el software espía. Normalmente se instala en segundo plano o
incluso sin consentimiento del usuario, mientras se navega por Internet.
El Adware, también se instalan igual que el spyware, lo único que hacen es añadir publicidad mientras se
navega, se abren ventanas POPUP o incluso se cambia la página de inicio del explorador web.
· Gusano
Un gusano de red infecta otros ordenadores y se propaga automáticamente en una red
independientemente de la acción humana. El hecho de que no depende de acción humana para
propagarse, ayuda a propagarse mucho más rápido que un virus.
· Virus
Un virus informático es un programa diseñado para copiarse y propagarse a sí mismo, normalmente
adjuntándose en aplicaciones. Cuando se ejecuta una aplicación infectada, puede infectar otros archivos.
o Virus de sistema:
Virus de sistema, también conocidos como virus de arranque, a menudo están presentes en
disquetes sin el conocimiento del usuario.
o Virus dropper:
Un dropper es un programa que se crea o modifica para “instalar” un virus en el ordenador
destino.
o Virus macro:
Los virus macro pueden incluirse en todos los tipos de archivo que usen un lenguaje macro, tales
como Word, Excel, Access y Powerpoint.
Página 16 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Troyano
Este tipo de programas, conocidos también como RATs (Remote Administration Tool), se han
desarrollado para el control remoto de un PC o un sistema. El programa de acceso remoto deben estar
instalado en ambos PCs y su comunicación se produce generalmente vía internet o vía red.
Sin embargo un troyano tiene unas características propias que le confieren un carácter malicioso:
· Se aprovecha frecuentemente de bugs y backdoors de los sistemas informáticos, como el Back
Orifice o el BackDoor.
· Sólo una de las dos partes del programa (un troyano se instala en ambos PCs) tiene capacidad
de controlar (cliente del troyano) mientras que la otra sirve de conexión con el PC controlado
(servidor del troyano).
· Etc.
Normalmente se utilizan dos formas de engañar al usuario para que ejecute el servidor del troyano en
su PC.
2. La segunda forma de enviar el troyano es más limpia que la primera, ya que el atacado no nota
nada raro. Este sistema consiste en adherir el troyano a un fichero real de forma que se fundan dos
ficheros en uno sólo, pero resultando los dos 100% operativos.
Soluciones anti-malware
Existen dos posibilidades de antivirus: por software o por hardware. La mejor opción está en función
del desembolso que se requiera realizar, como es lógico la mejor opción es dedicar un equipo en exclusiva
a la detección, prevención y eliminación de virus (BoxAntivirus), entre las que existen varias compañías que
disponen de este mecanismo. También se denomina a este tipo de equipos Antivirus Appliance.
La otra posibilidad, la más generalizada, es instalar el software antivirus en los equipos que deseamos
proteger. Para ello existen versiones cliente y versiones server.
Página 17 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Es un documento donde se recogen las medidas definidas en la entidad para garantizar lo dispuesto en
Reglamento de Seguridad.
Para evaluar de manera eficaz este punto debemos atender a los siguientes términos:
o Actualización del documento.
o Ámbito de aplicación del documento.
o Funciones y obligaciones del personal.
o Obligación de informar.
1.5.2. Responsables
· Encargado de tratamiento
La persona física o jurídica o servicio que, solo o conjuntamente con otro, trate datos personales por
cuenta del responsable del fichero.
· Responsable de Seguridad
Página 18 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Persona encargada de coordinar y controlar la correcta aplicación de las medidas de seguridad sobre los
ficheros de carácter personal.
Asegurar la integridad de los datos.
Evitar cualquier pérdida o acceso no autorizado.
La LOPD establece que el Responsable del Fichero deberá adoptar las medidas necesarias de carácter
informático y organizativas para:
Medidas de seguridad
Toda Entidad deberá implantar un conjunto de políticas de seguridad respecto a los datos que manejan,
para garantizar la continuidad de sus actividades ante incidencias, fallos o infracciones por parte de
terceros.
Por ello, la LOPD, a través del RD 1720/2007, obliga a todas las empresas, tanto públicas como privadas, a
aplicar una serie de medidas de seguridad que garanticen la confidencialidad, integridad y disponibilidad de
la información.
Las medidas deberán ser adoptadas e implantadas por el Responsable del Fichero y son las siguientes:
Página 19 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Los ficheros que contengan datos de carácter personal, son clasificados según unos niveles de seguridad
en función del grado de información sensible que contienen.
Los niveles de seguridad se aplican atendiendo al tipo de dato de carácter personal a proteger, pudiendo
ser:
· Nivel Básico
· Nivel Medio
· Nivel Alto
· Nivel Básico:
Ficheros que contengan algunos de los siguientes tipos de datos, cuando no constituyan un perfil:
§ Identificativos.
§ Características personales.
§ Circunstancias sociales
§ Académicos y profesionales
§ Etc.
· Nivel Medio:
· Nivel Alto:
Página 20 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Son las medidas mínimas aplicables a todos los ficheros con datos de carácter personal.
Los ficheros No automatizados poseen por otro lado una serie de medidas específicas debido a su
naturaleza como son:
§ Definir unos criterios de archivo.
§ Establecer dispositivos de almacenamiento seguros.
§ Realizar una custodia diligente de los soportes durante su uso.
Las medidas aplicables a este tipo de ficheros son aquellos que contienes datos como infracciones
administrativos o penales, de mutuas de trabajo, enfermedades, etc.
Página 21 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Los datos personales considerados de nivel alto son aquellos que hacen referencia a origen racial,
religión, vida sexual, violencia de género etc.
Las medidas de nivel alto para los ficheros No automatizados que dispone el Reglamento son las
siguientes:
§ Almacenamiento de la información con acceso protegido bajo llave.
§ Control de copias y destrucciones de la documentación.
§ Etc.
Página 22 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
manualmente.
Etc.
FICHEROS NO
AUTOMATIZADOS:
Control de accesos
autorizados.
Etc.
Identificación SOLO FICHEROS SOLO FICHEROS
y AUTOMATIZADOS: AUTOMATIZADOS:
autenticación
Identificación y Límite de intentos
autenticación reiterados de acceso no
personalizada. autorizado
Etc.
Gestión de Inventario de soportes. SOLO FICHEROS SOLO FICHEROS
soportes AUTOMATIZADOS: AUTOMATIZADOS:
Identificación del tipo de
información que Registro de entrada y Sistema de etiquetado
contienen, o sistema de salida de soportes: confidencial.
etiquetado. documento o soporte, Etc.
Etc. fecha, emisor/destinatario,
número, tipo de
información, forma de
envío, responsable
autorizada para
recepción/entrega.
Página 23 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
El archivo de los
documentos debe
realizarse según criterios
que faciliten su consulta y
localización para
garantizar el ejercicio de
los derechos ARCO.
Almacena- SOLO FICHEROS SOLO FICHEROS
miento NO AUTOMATIZADOS: NO AUTOMATIZADOS:
Durante la revisión o
tramitación de los
documentos, la persona a
cargo de los mismos debe
ser diligente y custodiarla
para evitar accesos no
autorizados.
Copia o SOLO FICHEROS
reproducción NO AUTOMATIZADOS:
Página 24 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
Página 25 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
El afectado será informado, en el momento en el que facilite sus datos, del tratamiento que se va a realizar
sobre ellos. Debe ser informado:
· De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información.
· Del carácter obligatorio de su respuesta a las preguntas que les sean planteadas.
· De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
· De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (ARCO).
· De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante
1.7.3. Consentimiento
Consentimiento del afectado es aquella manifestación de voluntad, libre e inequívoca, mediante la que el
interesado consiente el tratamiento de sus datos personales.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de
carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento
cuando existan motivos fundados y legítimos.
Cuando los responsables de ficheros necesiten tratar con datos considerados como protegidos, si se
requerirá autorización expresa por parte del interesado, así como un documento escrito que lo acredite.
Estos datos especialmente sensibles son:
· Afiliación sindical
· Religión o creencias
· Etc.
La LOPD otorga a los titulares una serie de derechos que son personalísimos, independientes entre sí y
que pueden ejercer de manera gratuita:
Página 26 de 27
1. SEGURIDAD Y PROTECCIÓN DE DATOS
· Impugnación de valoraciones: impugnar las evaluaciones de la personalidad que se puedan
realizar con los datos.
· Acceso: conocer los datos relativos a su persona que figuran en los ficheros de una determinada
entidad.
· Rectificación de los errores detectados en los ficheros.
· Cancelación de los datos.
· Oposición al tratamiento de los datos.
· Indemnización: cuando el titular sufra un daño en sus bienes o derechos como consecuencia del
incumplimiento de la LOPD.
Los derechos que ejerciten los titulares han de ser atendidos por el Responsable del Fichero en unos plazos
determinados:
El ejercicio de los derechos de acceso, rectificación, cancelación u oposición, deberá llevarse a cabo
mediante solicitud dirigida al Responsable del Fichero y que ha de contener los siguientes requisitos:
Página 27 de 27