TEMA 1 SEGURIDAD INFORMÁTICA.

- INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA

1.- SEGURIDAD INFORMATICA Y SEGURIDAD DE LA INFORMACIÓN

Para una empresa es muy importante la información, es decir los datos que maneja y con los que
trabaja.

Definimos Seguridad de la Información como las medidas y procedimientos humanos y técnicos para
proteger la Integridad, Confidencialidad y Disponibilidad de la información.

 La Integridad se refiere a que la información no tiene errores, es decir es exacta.

 La Confidencialidad se refiere a que solo podrán acceder a la información y modificarla los

usuarios autorizados.

 La Disponibilidad nos permitirá acceder a la información en cualquier momento, es decir

siempre estará disponible para los usuarios autorizados.

Definimos Seguridad Informática como la rama de la Seguridad de la información que protege la

información que utiliza medios informáticos.

En función de lo que se quiera proteger tenemos:

 Seguridad física: Protege físicamente el sistema ante inundaciones, incendios, robos…

 Seguridad Lógica: Protegen la parte lógica de un sistema informático: datos, aplicaciones y

sistemas operativos.

En función del momento en que tiene lugar la protección:

 Seguridad activa: Son las medidas preventivas que evitan incidentes en un Sistema Informático.
Por ejemplo el uso de contraseñas que impedirán el acceso al sistema por personal no
autorizado.

 Seguridad Pasiva: Son técnicas para minimizar las consecuencias de un incidente de seguridad
producido. Por ejemplo las copias de seguridad.

2.- CONCEPTOS BÁSICOS EN MATERÍA DE SEGURIDAD

Vamos a definir una serie de conceptos básicos de seguridad:

 Activos:

 Recurso del Sistema (informático o no)

 Valioso para la empresa y que debe ser protegido frente a un percance

Ejemplo de activos puede ser: los trabajadores, el software, los datos, archivos, el hardware…
La Seguridad Informática identifica los activos y el valor de cada uno para invertir más o menos en su
protección.

Por lo general los activos más importantes pueden ser:

o Información: Datos en cualquier soporte

o Software: Programas o aplicaciones

o Físicos: Infraestructura tecnológica.

o Personal de la organización: Utiliza la infraestructura para manejar los datos.

 Vulnerabilidades:

 Debilidad de un activo o agujero de seguridad

 Fallos en la implementación de las aplicaciones o en la configuración del Sistema

Operativo.

Ejemplo de vulnerabilidades puede ser: no tener cortafuegos, ni antivirus, no tener mecanismos

de protección frente a desastres naturales.

Es muy importante solucionar las vulnerabilidades ya que pueden dar lugar por ejemplo a
accesos no autorizados.

 Amenazas:

 Se produce cuando los datos o el software están en peligro.

Amenazas contra la seguridad física son:

o Desastres naturales.

o Robos.

o Fallos de suministro.

Amenazas contra la seguridad lógica son:

o Virus, troyanos y malware.

o Perdida de datos: por ejemplo por fallos no intencionados y errores.

o Ataques deliberados a las aplicaciones y malintencionados, por ejemplo mediante la

difusión de software dañino.

 Ataques:
  Aprovecha una vulnerabilidad para afectar al funcionamiento del Sistema e
incluso tomar el control.

Fases de un ataque:

1.- Reconocimiento: Obtener información de la victima.

2.- Exploración: Obtener información sobre el sistema, direcciones IP, nombre de

hosts…

3.- Obtención de acceso: Si ha detectado alguna vulnerabilidad intenta el ataque.

4.- Mantener el acceso: Una vez que ha conseguido el acceso intenta configurar el
sistema para poder acceder en futuras ocasiones.

5.- Borrar las huellas: para no ser detectado.

La diferencia existente entre amenaza y ataque es que sin amenaza no hay ataque. Una
amenaza es una acción específica que proviene de un ataque y un ataque es una situación que
puede producir un problema de seguridad.

Aquí podemos definir un nuevo término “Ingeniería Social”. Mediante la ingeniería social se
intentará obtener información confidencial utilizando el factor humano.

 Riesgo:

 Probabilidad de que una amenaza se materialice aprovechando una

vulnerabilidad y causando daño en el sistema.

Por ejemplo, si la instalación eléctrica del edificio es antigua, la probabilidad de una subida de
tensión es alta.

Reducir el riesgo implica aumentar el coste en seguridad.

Hay que llevar a cabo un análisis de los riesgos, donde habrá que detectar las amenazas,
vulnerabilidades y los activos de un sistema para tomar las medidas adecuadas para minimizar
los riesgos según el coste que se quiera invertir.

El riesgo 0 no existe. No es posible prevenir todas las situaciones.

  Impacto:

 Daño producido en caso de que una amenaza se materialice. Ese impacto va a

depender de las estrategias que se utilicen para solucionar dicha amenaza.

Por ejemplo, si se produce el borrado de un disco duro por un virus si hay copias de seguridad
el impacto será pequeño.

Toda organización, en el análisis de riesgos debe analizar también el impacto que produciría
cada uno de ellos.

 Desastres:

 Evento accidental, natural o malintencionado que interrumpe el funcionamiento

normal del sistema.

Por ejemplo, la caída de un servidor por una subida de tensión.

Un desastre podría ocasionar graves pérdidas para la organización. Por lo tanto las
organizaciones desarrollan planes de contingencia que permiten prevenir y recuperar el
sistema ante un desastre informático.

3.- PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA.

3.1 INTEGRIDAD

Garantiza que la información solo es modificada por las personas autorizadas.

Se viola la integridad cuando la información es modificada por un usuario no legítimo o en el

caso de una red ocurre lo siguiente:
 Esto también recibe el nombre de Tampering, que consiste en una modificación desautorizada
de los datos.

La firma electrónica nos protege de este tipo de ataque.

3.2 CONFIDENCIALIDAD

La información solo es accesible por personas autorizadas.

Se viola la confidencialidad cuando un atacante accede a un equipo sin autorización, o si se

trata de una red de comunicaciones ocurre lo siguiente:

3.3 DISPONIBILIDAD

Asegurar que la información es accesible en el momento adecuado para los usuarios legítimos.

Se vulnera la disponibilidad cuando un usuario no tiene acceso a su equipo (por ejemplo un

virus paraliza el sistema) o si se trata de una Red de comunicaciones:

Por ejemplo el Ataque DOS satura la red e inutiliza Internet.

3.4 NO REPUDIO

Consiste en probar la participación de emisor y receptor en una comunicación.

Por ejemplo si una persona entrega la declaración de la renta con un certificado digital no
podrá decir luego que no la ha entregado o que no ha sido él quien la ha entregado.

La autenticación por otro lado nos va a permitir comprobar la identidad de los participantes en
una comunicación.

Existen algunos ataques contra este principio como por ejemplo la suplantación de identidad y
los robos de contraseñas.
 4.- POLÍTICAS DE SEGURIDAD

Son normas y protocolos con las medidas para proteger la seguridad del Sistema más los
mecanismos para controlar su correcto funcionamiento.

5.- PLANES DE CONTINGENCIA

Consiste en una serie de medidas para la recuperación del Sistema en caso de que ocurra algún
desastre. Por ejemplo la utilización de los siguientes elementos:

• Redundancia hardware

• Información guardada de manera distribuida

• Plan de recuperación: por ejemplo mediante copias de seguridad.

• Utilizar personal preparado y cualificado para actuar ante cualquier incidente.