Tema 1: Criterios Comúnmente Aceptados Sobre Seguridad Informática

Tema 1
Criterios comúnmente
aceptados sobre
Seguridad Informática
Contenido
• Modelo de seguridad orientada a la gestión del riesgo.
• Relación de amenazas frecuentes.
• Salvaguardas y tecnologías de seguridad más habituales.
• La gestión de la seguridad informática como complemento
y medidas tecnológicas.
Modelo de seguridad orientada a la gestión del riesgo
La administración del flujo continuo de datos, se ha

convertido en un factor crítico en la era digital en la que
vivimos.
Órdenes de compra, facturas electrónicas, pago de servicios,
inscripciones, plataformas académicas son ejemplos de
aplicaciones que generan una cantidad infinita de
transacciones, y que se sustentan sus operaciones en los
sistemas y tecnologías de información.
Es necesario que las empresas públicas o privadas,

organismos gubernamentales, instituciones académicas,
financieras, etc., garanticen que sus sistemas proporcionen
continuidad del negocio asegurando el correcto
funcionamiento, y sobre todo aseguren la información.
Seguridad Informática -> Definición (I)

La seguridad de los equipos informáticos tiene como objetivo
cubrir la necesidad de protección, y en última instancia la
seguridad de la información.
Seguridad Informática -> Definición (II)

Cualquier medida que impida la ejecución de operaciones no
autorizadas sobre un sistema o red de información cuyos
efectos puedan conllevar:
• Daños sobre la información
• Comprometer su confidencialidad
• Comprometer su autenticidad
• Comprometer su integridad
Seguridad Informática -> Definición (III)
Medidas y controles que aseguran la confidencialidad,

integridad y disponibilidad de los activos de los sistemas de
información, incluyendo hardware, software, firmware y
aquella información que procesan, almacenan y comunican.
Seguridad Informática -> Definición (IV)

ISO 27001
La preservación de confidencialidad, integridad y
disponibilidad de la información
Seguridad Informática -> Definición (y V)

Magerit v2
Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información, ministerio de administraciones públicas
La capacidad de los sistemas de información, de resistir, con
un determinado nivel de confianza, los accidentes o
acciones ilícitas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de los datos
almacenados o transmitidos.
Aspectos a tener en cuenta

• Cumplimiento de las regulaciones legales aplicables
• Control en el acceso a los servicios ofrecidos
• Control en el acceso a la información guardada
• Información protegida por LOPD, derechos de autor, ….
• Identificación de los autores de la información
• Registros de uso de los servicios de un sistema
Factores de los que depende (I)

• Sensibilización de los directivos sobre la necesidad de invertir en
recursos para la seguridad.
• Experiencia en la tecnología utilizada para la implementación de
los sistemas, así como preparación para enfrentar posibles
ataques.
• Sensibilización de todos los usuarios de los sistemas en la
importancia de la seguridad.
• Asignación y difusión de responsables de las áreas y servicios.
• Instalación, configuración y mantenimiento de los equipos de
forma correcta.
Factores de los que depende ( y II)

• Establecimiento de límites en los permisos a los usuarios.
• La adquisición de pólizas de garantía y servicio con los
proveedores autorizados.
• La actualización de productos que corrijan fallos y
vulnerabilidades del área de seguridad.
• La identificación de amenazas externas e internas.
• El diseño de políticas y procedimientos de acuerdo a las
necesidades específicas de cada organización.
Objetivos (I)
El propósito general de la
seguridad de información es
controlar y reducir los riesgos
posibles ocasionados por intrusos
a los recursos de la organización.
Objetivos (II)
Para lograrlo se deben cumplir los siguientes objetivos:
• Minimizar y gestionar los riesgos y detectar posibles amenazas.
• Garantizar la adecuada utilización de los recursos y aplicaciones
del sistema.
• Limitar las pérdidas y conseguir la adecuada recuperación del
sistema en caso de incidente de seguridad.
• Cumplir con la normativa legal y requisitos mínimos para el
intercambio de información.
Objetivos -> Planos de actuación

• Técnico
• Legal
• Humano
• Organizativo
Objetivos -> Planos de actuación -> Plano Técnico
• Selección instalación, configuración y actualización de

soluciones HW y SW
• Crifrado
• Estandarización de productos
• Desarrollo seguro de aplicaciones
Objetivos -> Planos de actuación -> Plano Legal
Cumplimiento y adaptación a la legislación vigente:

• LOPD
• LSSICE
Objetivos -> Planos de actuación -> Plano Humano
• Sensibilización y formación
• Funciones, obligaciones y responsabilidades del personal
• Control y supervisión de los empleados
Objetivos -> Planos de actuación -> Plano Organizativo

• Definición de políticas, normas y procedimientos
• Definición de planes de contingencia y respuesta ante
incidentes
• Seguridad en las relaciones con terceros: proveedores,
clientes,…
La seguridad informática debe ser entendida como un

proceso y no como un producto que se pueda comprar o
instalar.
Beneficios (I)
• Disponibilidad de sus servicios.
• Incremento de confianza y prestigio con clientes,
proveedores, y socios de negocios.
• Mayor productividad.
• Disminución de gastos por contingencias.
• Ahorro en pólizas.
Amenazas, Vulnerabilidades e Incidentes de Seguridad (I)

Las amenazas son las posibles acciones que dañarían los
equipos informáticos.
Las amenazas no se pueden eliminar, porque existen de
manera intrínseca al contexto y entorno en que existen los
equipos informáticos. Por lo tanto, existe la obligación de
analizarlas para poder reducir el daño que supondrían en los
equipos informáticos.
Amenazas, Vulnerabilidades e Incidentes de Seguridad (II)

Para causar el daño, la amenaza debe encontrar un punto en
que afecte al equipo; este punto es una vulnerabilidad del
equipo ante la amenaza. Es decir, las vulnerabilidades son
las debilidades de los equipos ante las amenazas.
La vulnerabilidad permite o facilita que una amenaza dañe el
equipo; mientras que la amenaza es cualquier hecho que,
intencionadamente o no, aprovecha una vulnerabilidad para
dañar un equipo.
Amenazas, Vulnerabilidades e Incidentes de Seguridad (III)

Cuando una amenaza o un conjunto de ellas sucede, y
aprovecha una vulnerabilidad, se dice que ha ocurrido un
incidente de seguridad, cuyo efecto es un daño o impacto al
equipo informático.
Amenazas, Vulnerabilidades e Incidentes de Seguridad (IV)

Las amenazas serán genéricas, y no se podrán eliminar por
completo, mientras que las vulnerabilidades serán
particulares de cada equipo, y sí permiten intervenir en ellas.
Frente a los incidentes de seguridad, se deben disponer
contramedidas o salvaguardas que fortalezcan el sistema.
Las contramedidas persiguen conocer, prevenir, impedir,
reducir y controlar el daño que podría tener un equipo.
Amenazas, Vulnerabilidades e Incidentes de Seguridad (V)

El punto de partida debe ser siempre el del caso peor: que
tarde o temprano el incidente de seguridad se producirá.
Amenazas, Vulnerabilidades e Incidentes de Seguridad (VI)

El trabajo de seguridad consiste tanto en reducir la
frecuencia con la que ocurran los incidentes, como en
reducir el daño cuando estos se produzcan.
Para ello, es en las contramedidas donde se focalizará la
atención y el trabajo práctico, analizando las opciones más
efectivas para reducir la probabilidad de ocurrencia y los
daños de un incidente, y maximizando así la relación
beneficio/coste.
Amenazas, Vulnerabilidades e Incidentes de Seguridad (y VII)

Riesgo de un incidente de seguridad

El riesgo es una medida del daño probable que causará una
amenaza, que aprovecha una vulnerabilidad para causar un
daño. Es mayor cuanto más frecuente sea la aparición de la
amenaza, y cuanto mayor sea el daño del incidente que
acarree.

Se puede reducir el riesgo, añadiendo las contramedidas que
reduzcan las vulnerabilidades a las posibles amenazas.
Cuantas más contramedidas se dispongan, es menor es el
daño probable, o lo que es lo mismo, menor es el riesgo para
el sistema de información.
Existirá un balance entre el riesgo de un incidente de
seguridad y los recursos que se dediquen a reducir su daño
probable.

El método sistemático, que se precisa para decidir cuánto
riesgo asume la empresa, constituye lo que se denomina un
modelo de seguridad. El modelo de seguridad persigue
organizar los procesos de gestión de la seguridad de la
información, en base a unas directrices y algún método para
calcular los riesgos del sistema de información.

Para estudiar el riesgo, existen dos pasos claramente
diferenciados:
• Análisis de riesgos
• Gestión de riesgos.
Riesgo de un incidente de seguridad -> Análisis de Riesgos

Consiste en identificar amenazas, determinar las
vulnerabilidades, y medir el impacto o daño que causaría un
incidente. Se pueden emplear métodos cuantitativos o
cualitativos para ordenar los riesgos.
Riesgo de un incidente de seguridad -> Gestión de Riesgos

Partiendo de los resultados del análisis de riesgos, y una vez
determinados los criterios para aceptar un riesgo (legales,
económicos, etc.), permite elegir las contramedidas de
seguridad que se implantarán.
Riesgo de un incidente de seguridad -> Ejercicio

• Fallo de suministro eléctrico
Impacto: 10.000 €, Probabilidad: 0.1
• Ataque dirigido
Impacto: 500.000 €, Probabilidad: 0.005
Optimizar la inversión concentrando los recursos en eliminar
la mayor amenaza.
Relación de amenazas frecuentes
Clasificación de Amenazas
• Amenazas naturales o artificiales
• Amenazas debidas al entorno o al hombre
• Amenazas accidentales o intencionadas
(Libro, amenazas MAGERIT)

Salvaguardas y tecnologías de seguridad habituales
Las salvaguardas, o contramedidas, persiguen detectar,

prevenir, impedir, reducir, y controlar una amenaza y el daño
que pueda generar. Son elementos de defensa, para que las
amenazas no causen tanto daño.
• Preventivas o proactivas. Persiguen anticiparse.
• Reactivas. Persiguen reducir el daño una vez el incidente se
ha producido. Ejemplo copias de seguridad.
• No hacer nada. Persiguen aceptar el riesgo.
Seguridad de recursos humanos

• Roles y responsabilidades del trabajador.
• Antecedentes.
• Formación.
• Devolución de activos y revocación de derechos de acceso.
Seguridad de recursos humanos -> Altas

Seguridad de recursos humanos -> Bajas

Seguridad ambiental
Concepto de CPD. Los equipos informáticos servidores
deben disponer de un entorno adecuado, y ubicarse en un
recinto separado y controlado.
Medidas de protección: fuego, vibraciones, temperatura, SAI,
cableado, mantenimiento
Seguridad física
El acceso físico a los ordenadores y equipos aumenta el
riesgo de cualquier incidente. Debe aplicarse el criterio de
conceder acceso exclusivamente a quien lo necesite.
Habitualmente, el incidente más frecuente por acceso físico
es accidental o no intencionado: se trata de errores humanos
protagonizados por personal del departamento de
informática, por personal de servicios auxiliares o incluso por
proveedores o visitas.
Seguridad física -> Medidas de seguridad

• Estableciendo perímetro físico.
• Estableciendo mecanismos de control de acceso.
• Definiendo áreas de acceso público.
Seguridad de acceso lógico

El acceso lógico se refiere al acceso a la información de
manera remota, es decir, sin emplear un periférico conectado
directamente al equipo.
Interviene forzosamente una red de comunicaciones, que
extiende el acceso al servidor más allá del CPD.
Seguridad de acceso lógico -> Medidas de seguridad (I)

• Política de control de accesos con registro de usuarios.
• Gestión de privilegios de usuario. Sólo lo que necesitan
saber.
• Revisión periódica de derechos de acceso.
• Establecimiento de responsabilidades de usuario.
Seguridad de acceso lógico -> Medidas de seguridad (y II)

• Control de conexiones externas.
• Política de trabajo en movilidad.
• Separación de redes.
La gestión de la seguridad informática como
complemento y medidas tecnológicas.
Concepto de SGSI: Sistema de Gestión de Seguridad de la

Información. Es un sistema de gestión usado para establecer
y mantener un entorno seguro.
Analizar la empresa, y fijar sus necesidades de seguridad
iniciales, de poner en práctica las medidas de protección
para lograr alcanzar estas necesidades, de ser capaz de
medir si se han alcanzado o no, y de detectar las mejoras en
las medidas de protección para alcanzar las necesidades.
Ciclo PDCA
Resumen
“El único sistema realmente seguro es

aquel que se encuentra apagado,
encerrado en una caja fuerte de titanio,
confinado en un bloque de hormigón,
sellado en una habitación forrada de
plomo con guardias armados y muy bien
pagados, y aún así tengo mis dudas”
Gene Spafford

Tema 1: Criterios Comúnmente Aceptados Sobre Seguridad Informática

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 1: Criterios Comúnmente Aceptados Sobre Seguridad Informática

Cargado por

Copyright:

Formatos disponibles

Tema 1

La administración del flujo continuo de datos, se ha

Es necesario que las empresas públicas o privadas,

Seguridad Informática -> Definición (I)

Seguridad Informática -> Definición (II)

Seguridad Informática -> Definición (III)

Medidas y controles que aseguran la confidencialidad,

Seguridad Informática -> Definición (IV)

Seguridad Informática -> Definición (y V)

Aspectos a tener en cuenta

Factores de los que depende (I)

Factores de los que depende ( y II)

Objetivos -> Planos de actuación

Objetivos -> Planos de actuación -> Plano Técnico

• Selección instalación, configuración y actualización de

Objetivos -> Planos de actuación -> Plano Legal

Cumplimiento y adaptación a la legislación vigente:

Objetivos -> Planos de actuación -> Plano Humano

Objetivos -> Planos de actuación -> Plano Organizativo

La seguridad informática debe ser entendida como un

Amenazas, Vulnerabilidades e Incidentes de Seguridad (I)

Amenazas, Vulnerabilidades e Incidentes de Seguridad (II)

Amenazas, Vulnerabilidades e Incidentes de Seguridad (III)

Amenazas, Vulnerabilidades e Incidentes de Seguridad (IV)

Amenazas, Vulnerabilidades e Incidentes de Seguridad (V)

Amenazas, Vulnerabilidades e Incidentes de Seguridad (VI)

Amenazas, Vulnerabilidades e Incidentes de Seguridad (y VII)

Riesgo de un incidente de seguridad

Riesgo de un incidente de seguridad

Riesgo de un incidente de seguridad

Riesgo de un incidente de seguridad

Riesgo de un incidente de seguridad -> Análisis de Riesgos

Riesgo de un incidente de seguridad -> Gestión de Riesgos

Riesgo de un incidente de seguridad -> Ejercicio

(Libro, amenazas MAGERIT)

Las salvaguardas, o contramedidas, persiguen detectar,

Seguridad de recursos humanos

Seguridad de recursos humanos -> Altas

Seguridad de recursos humanos -> Bajas

Seguridad física -> Medidas de seguridad

Seguridad de acceso lógico

Seguridad de acceso lógico -> Medidas de seguridad (I)

Seguridad de acceso lógico -> Medidas de seguridad (y II)

Concepto de SGSI: Sistema de Gestión de Seguridad de la

“El único sistema realmente seguro es

También podría gustarte