Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La seguridad informática es la disciplina que se encarga de proveer a los sistemas informáticos de una serie de
elementos (normas, métodos , procedimientos) para conseguir que estos sean fiables. La seguridad absoluta es
imposible. La seguridad se refiere tanto a proteger el software como los elementos físicos que lo componen.
1. CLASIFICACIÓN DE LA SEGURIDAD
Seguridad activa: Agrupa el conjunto de medidas que se toman para prevenir o minimizar riesgos. PREVIENE
Seguridad Pasiva: medidas que se enfocan a minimizar daños una vez que ha ocurrido la catástrofe. MINIMIZA
Seguridad física: conjunto de medidas que se toman para proteger el hardware, las instalaciones y su acceso y
demás elementos físicos del sistema
Seguridad Lógica: Complementa a la seguridad física y se encarga de proteger los elementos lógicos del sistema
como el software y la información mediante herramientas como antivirus, contraseñas, etc.
El objetivo primordial es proteger los activos de la empresa, especialmente la información. Las características
que debe de cumplir un sistema seguro son:
Vulnerabilidad: Es la medida en que un elemento del sistema es susceptible de ser afectado por un
atacante.
Amenaza: es cualquier circunstancia o evento que potencialmente pueda causar daño.
Ataque: Consiste en la materialización de una amenaza.
Bug: (error en inglés) agujero de seguridad, fallo que existe en un programa fruto de un error en la
programación, se corrigen con pequeños programas que rectifican dicho error, llamados parches.
Ataques de día cero, se producen cuando los atacantes son conocedores de la vulnerabilidad antes que el
propio fabricante y, por tanto, antes de que exista un parche para reparar la vulnerabilidad.
Hacker (en inglés pirata informático), persona que efectúa el ataque informático.
4. TIPOS DE ATAQUES.
Ataques pasivos: Su objetivo no es alterar la comunicación sino simplemente escuchar o monitorizar para
obtener información a través del tráfico.
MECANISMOS DE SEGURIDAD
5. MECANISMOS DE SEGURIDAD
Estática (usuario/clave).
Robusta (claves de un solo uso, firmas electrónicas).
Continua (firmas electrónicas aplicadas a todo el contenido de la sesión).
Control de la adquisición y actualización del software: previene contra los virus, caballos de Troya y el robo de
licencias.
Cifrado: proporciona confidencialidad, autenticidad e integridad.
Actuaciones en el nivel de arquitectura
Gestión de incidentes: Detección de ataques, históricos, control de integridad, etc.
Acciones administrativas: Identificación de responsables de seguridad, política de sanciones, políticas de
privacidad, definición de buenas prácticas de uso, etc.
Formación: Información a los usuarios y usuarias de las amenazas y cómo prevenirlas, políticas de la empresa
frente a fallos de seguridad, etc.
4. GESTIÓN DE RIESGOS
Los objetivos de la gestión de riesgos son identificar, controlar y eliminar las fuentes de riesgo antes de que se
acaben materializándose en daños. Entendemos el riesgo como la posibilidad de que una amenaza se materialice.
Riesgo = Amenaza x Vulnerabilidad x Valor del bien
Vemos que el riesgo aumenta cuando aumentan las amenazas, como las vulnerabilidades, como el valor de los
bienes.
Definimos el impacto como los daños o consecuencias que ocasiona la materialización de una amenaza, es decir,
las consecuencias de un ataque.
6. POLITICAS DE SEGURIDAD
Una política de seguridad es el documento donde se van a plasmar todos los objetivos de la empresa en lo
relacionado a seguridad de la información. De esta forma definimos la manera de hacer un buen uso de los
recursos hardware y software de la organización.
7. AUDITORIAS
Mediante las Auditorias, verificamos que se cumplen los objetivos de la política de seguridad.
La auditoria informática, consiste en una serie de procesos que se aplican para proteger los recursos de la
empresa y asegurar un correcto funcionamiento. Podemos llevar a cabo mediante personal propio o por personal
ajeno a la misma, siendo la opción más aconsejable, podemos dividir las auditorias en etapas generales,
resumidas en:
8. PLAN DE CONTINGENCIAS
Es un instrumento de gestión que consiste en una serie de medidas a llevar a cabo de forma complementaria al
funcionamiento habitual de la empresa, Su objetivo es garantizar la continuidad del negocio en caso de un
impacto. Para ello, un plan de contingencias se desarrolla en tres subplanos independientes:
Plan de emergencia: Se aplica durante el desastre o inmediatamente después, para paliar los daños.
Plan de recuperación: Trata de recuperar y restaurar el sistema y minimizar los daños tras el desastre.
Es necesario que el personal de la empresa conozca el plan. Así como Especificar en el plan, medidas
organizativas las responsabilidades del personal, los materiales empleados, etc.
9. LEGISLACIÓN: LOPD
LORTAD 1992: primera Ley que regula el tratamiento de los datos de carácter privado.
La LOPD establece su ámbito de aplicación en el artículo 2, de forma que “la presente Ley Orgánica será de
aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de
tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”
LOPD define el concepto de fichero como un conjunto de datos almacenados en cualquier soporte e
independientemente de que estén automatizados o no.
Es una entidad pública encargada de velar por el cumplimiento de la legislación en lo referente a protección de
datos. Vela por el cumplimiento de los derechos ARCO.
Conjunto de derechos ciudadanos en relación con los datos personales registrados en el Registro General de
Protección de datos:
Derecho de acceso: Podemos dirigirnos a quien tenga nuestros datos y saber que datos tienen sobre
nosotros y como fueron obtenidos.
Derecho de rectificación: realizando un escrito acompañado del DNI dirigido al responsable del fichero.
A partir de 10 días se podrá realizar una reclamación, si no han respondido satisfactoriamente.
Derecho de cancelación: Todo ciudadano/a. Tiene derecho a que sus datos sean cancelados de forma
definitiva, siempre que sean de carácter privado. Proceso análogo al de rectificación.
Derecho de oposición: Podemos oponernos al tratamiento de nuestros datos públicos, siempre que haya
causa justificada , para la exclusión de tus datos (siempre que la Ley no disponga lo contrario).
Además de los derechos ARCO la AEPD estable una serie de derechos para los ciudadanos como el derecho a
recibir publicidad, exclusión de guías de teléfono, etc.
La Ley de Propiedad Intelectual: LPI y algunos tipos de licencias se pueden asociar a las obras.
La Ley de Propiedad Intelectual (LPI): "la propiedad intelectual es el conjunto de derechos que
corresponden a los autores y a otros titulares (artistas, productores, organismos de radiodifusión…)
respecto a las obras y prestaciones fruto de su creación." El Real Decreto 1/1996 de 12 de abril, aprueba
el texto refundido de la LPI.
La propiedad intelectual de una obra, comienza en el momento en que se crea dicha obra sin necesidad de
llevar a cabo ningún trámite especial.
Juan Carlos Doña Izquierdo Monday, 26 de October de 2020 4
UNIDAD 1 INTRODUCCION A LA SEGURIDAD INFORMATICA SEG
COPYRIGHT Y COPYLEFT.
Copyright: Constituye un derecho automático por si mismo, significa que tiene derechos reservados
y existen una serie de restricciones sobre el uso de dichos contenidos. Un deposito Copyright te permite
demostrar que realmente eres el autor . Así como probar la fecha de creación
Copyleft: Una obra tendrá permisos de copia, modificación y redistribución y además impone la
misma licencia a las copias y a las obras derivadas.
Creative Commons, es una corporación americana sin ánimo de lucro. En 2004 en España se adaptan las
licencias a la legislación sobre propiedad intelectual, siendo la Universidad de Barcelona la Institución afiliada
a CC.
Estas licencias permiten reservar solamente determinados derechos de una forma sencilla. Ofrecen una serie
de derechos a terceras personas bajo condiciones concretas. Las condiciones:
Estas cuatro condiciones combinadas generan las seis licencias que se pueden escoger:
Es importante que entendamos que no es lo mismo almacenar datos como el nombre y los apellidos de una
persona, que datos relacionados con su religión, orientación sexual, etc. En consecuencia , las medidas a
adoptar para mantener la privacidad de dichos datos, también serán diferentes. Teniendo en cuenta esto se
clasifican en tres niveles en función del tipo de datos:
Cuando una organización incumple lo establecido en la Ley, puede ser sancionada con una importante suma de
dinero, la cuantía de las sanciones que impone la LOPD depende de varios parámetros:
Ley 34/2002 de 11 de Julio, que se aplica al comercio electrónico y aquellos servicios de Internet que
representen una actividad económica para el prestador del servicio.
ÁMBITO DE APLICACIÓN.
No será de aplicación a aquellos servicios que no constituyan una actividad económica. Tampoco a servicios
prestados por notarios o notarias y registradores o registradoras, abogados o abogadas y procuradores o
procuradoras, en el ejercicio de sus funciones de representación y defensa en juicio, a quienes se le aplicará
normativa específica.
Para especificar las obligaciones de cada empresa las dividiremos en tres grupos:
Las empresas dedicadas al comercio electrónico, deben mostrar en su página Web una serie de datos que
informen al usuario o usuaria, como por ejemplo:
NIF (acrónimo de Número de Identificación Fiscal), domicilio, dirección de correo electrónico, teléfono o fax.
Precios de los productos indicando impuestos y gastos de envío.
Datos sobre la autorización administrativa necesaria para prestar los servicios que ofrezca la empresa.
Una serie de datos relativos al contrato “en línea” en el caso que este exista.
Para empresas intermediarias de los servicios de Internet (estas son las empresas que ofrecen alojamiento de
datos, los buscadores y los proveedores de Internet):
Colaborar con organismos públicos apara ejecutar resoluciones que precisen de su ayuda.
Informar a los usuarios y usuarias para aumentar la seguridad en el entorno informático.