Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción a la
seguridad
informática
OBJETIVOS
•• Conocer las diferencias entre seguridad
de la información y seguridad informática .
•• Aprender los conceptos básicos
relac ionados con el mundo de la seguridad
informática .
•. Describir cuáles son los principios
básicos de la seguridad .
.. Conocer qué son y qué uti lidad tienen
las políticas de seguridad .
.. Aprender en qué consisten los planes
de contingencia.
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Unidad 1 - Introducción a la seguridad informática 7
manos in adecu adas, pu eden llevar a la m ism a a la ruina . Extendiendo Para gestionar de forma adecuada la se·
este concepto de seglllida d al m undo de las telecomunicaciones y la infor- guridad de la información se han
mática, pu ede en tenderse desde dos puntos de vista: segu ridad de la in- desarrollado un conjunto de estándares
que se han convertido en el marco para
formación y seguridad informática.
establecer, implantar, gestionar y me·
La seguridad de la información es el conjunto de medidas y procedi- j orar un Sistema de Gestión de la Segu -
m ientos, tanto h umanos com o técn icos, que pem1iten proteger la in tegri- ridad de la Información (SGSI) . Son l as
dad, confi dencia lidad y dispon ibilidad de la inforn1ación : normas ISOI IEC 27000, desarrolladas por
ISO (Internatlonal Organizatlon fO( Stan·
Integridad: certific ando que ta nto la infon11ación como sus métodos darizatlon) e lEC (lnternational Electro·
de proceso son exactos y com pletos. technical Commission).
Confidencialidad: asegu rando q ue únicamen te pueden acceder a la in -
fornlación y m odificarla los usuarios a u torizados.
Disponibilidad: pern1itiendo que la infol1l1ación esté disponible cuando
los usuali os la necesiten.
Este término, por tanto, es un concepto amplio que engloba m edidas de
segu ridad qu e afectan a la in forn1a ción independien temente del tipo de
esta, soporte en el qu e se almacene, forma en que se transm ita, etc.
La seguridad informática , por su parte, es un a rama de la segu ridad de la
infornlación que trata de proteger la infon11ación que utiliza una infraes-
tl1.l ctura infornlática y de telecomunicaciones para ser alma cenada o trans-
m itida . Podem os distingu ir los sigu ientes tipos:
En fu nción de lo q ue se qu ier e proteger:
• Seguridad física: se asocia a la protección física del sistem a ante
amenaza s com o in undaciones, in cendios, robos, etc. Web
• Seguridad lógica: mecan ismos que protegen la parte lógica de u n
sistem a in fornlático (datos, aplicacion es y sistem as operativos). Uno http://pwnies. com: página web de
de los m edios más utilizados es la criptografía. los premios ?wnies, distinción que re-
conoce lo mejor y lo peor de la seguri·
En fu nción del m omento en que t iene lugar la protección :
dad informática durante el úl timo año.
• Seguridad activa: se en carga de preven ir, detectar y evitar cualqu ier
incidente en los sistem as infol1l1áticos antes de qu e se produ zca (me-
didas preventivas). Por ejempl o, u tilización de contrasen as.
• Seguridad pasiva: comprende todas aquellas técnicas o procedim ientos
n ecesalios para m in im izar las consecuencias de un inciden te de segu-
ridad (medidas con·ectoras). Por ejem plo, las copias de segu li dad .
Actividades propuestas
1·· Debate con tus compañeros de clase: ¿a qué crees que se deben la mayoría de los fallos de seguridad?
2 .. Realiza una tabla comparando ejemplos de seguridad pasiva y activa del campo de la informática y del
campo de los vehículos,
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
8
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Uni dad 1 - Introducción a la seguridad informática 9
Grupos de amenazas
Desastres naturales Fuego, daños por agua, desastres naturales.
Fuego, daños por agua, desastres industriales, contaminación mecánica, con-
Desastres industriales
taminación electromagnetica, etc.
Errores y fallos no intencionados Errores de usuarios, errores de configuración, etc.
Manipulación de la confi guración , suplantación de la identidad del usuario ,
Ataques deliberados
Difusión de software dañino, etc.
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
10
Ejemplos
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Unidad 1 - Introducción a la seguridad informática 11
Casos prácticos 1
La compaiiía de St-"gIlndad para lmernct Bi tDcfender ha \ocalu.ado un nue\'O fr-~ud~ en la rt-d social
FacdJOOk que utiliza para propaga"'c el etiquetado en la~ foto~ que permi te d icha r~"" ~ocial.
El mcwdo uti¡'~ado es el siguiente: un usuario cs etiquetado en una foto de una chica jO"cn y
"estida de manera proH>eati\"a. Jlmto a esa foto. se incluye un mensaje que dice: " D escubre quiénes
son tUS principales seguidores", junto con Un !i"k pat'd utili~-lIr una aplicación 'luC permitiría conocer
esa inform~ciÓn.
Si"¡ USillI riO pindu cn"¡ li"k., será K-dirigido a una ap~Qlción que, por un lado, le pedirá Su nombre
de usuario)' contt'dsdía y, por otro, le pcdi...~ permisos para publicar mcosajes ("Il su muro )" par~
acc.,.Jct a Su JisrA de conmctos en l'acelxx:Jk. UtU va hap im roducido los datos y cLtdo permiso a la
aplicación, est'd mostt'Mi un mensaje de ertor, señalando que no esr" disponible en ese momento.
Sin cmb:ug<J, inmediatamenTe. comenzaran a publicanse nue''a~ foto~ en la galería del usuario en la
que >;eran etiquetados todos sus amigos. Adt"flliÍs, en el muro de eM05 aplteccci que alguien les ha
eriquetado en ~-sa foto, JUnTO con el comentario inicial (,'Descubre q uiénes son rus principale5
~eguidore5') más clli"k que conduce a la aplicación f:dS<l .
En el momen to en que uno de e~os amigos pinche en el!;"/( e instale la aplicación creyendo que su
amigo )1\ la ha aprobado)' que se la cstá r(,{;o'TIcndando, el proceso \'olvet'~ a COtllen~r De esta
manera, la ap~cación consigue un efecto viral, propagándose por la red social.
Solución . .
al Se trata de un ataque basado en ingeniería social, realizado con la finalidad de conseguir los datos del
usuario para propagarse.
b) l a vulne ra bilidad es eL elemento personaL, encarnado por La confianza deL usuario en los contenidos
recibidos, que Le Lleva a conceder privilegios totaLes aL atacante. La ame naza existente es un tipo de amenaza
pasiva, consistente en supLantar La identidad deL usuario para permitir aL atacante conseguir sus fines.
c) Se recomienda desconfiar tanto de Las fotos como de los mensajes de este tipo, que pretenden lLamar la
atención ante situaciones curiosas. ALmismo tiempo, se debe desconfiar de las aplicaciones que supuestamente
reaLizan acciones que en reaLidad no pueden llevarse a cabo, como por ejempLo saber cuántas veces han
visitado tu perfil.
Actividades propuestas
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
12
Robo de información
Alto Robo de hardware
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Unidad 1 - Introducción a la ~eguridad informática 13
2.6> Impacto
Una organización se ve afectada cuando se produce una situación que
atenta contra su fun cionam iento n Olma l; estas consecuencias para la em -
presa reciben el nombre de impacto . Dicho de otra fomla, el impacto sería
el alca nce producido o daii.o causa do en caso de que u na amenaza se ma -
teria lice.
Dos organizaciones pu eden verse afectadas en diferente medida ante la
materi alización de la m isma amenaza si han adoptado estrategias diferentes
pa ra soluciona rla. Así, el impacto del borrado del disco duro ocasionado
por un virus in fom1ático será muy escaso en una empresa qu e real iza pe-
riódicamente copias de seguridad de la información importante, pero será
bastantegt'a ve en una empresa qu e no lleva a cabo copias de segUlidad re-
gulam1 ente.
Un impacto leve no afecta prácticamente al funcionamiento de la empresa
y se produce en organizaciones que han identificado las amena zas y han
establecido la s pautas a segu ir en el caso de que se materialicen. Por otro
lado, un impacto grave afecta seriamente a la empresa pudiendo ocasionar
su qu iebra y se produ ce en organizaciones qu e no ha n considerado las
consecuencias que supone para ellas la materialización de esa amenaza .
Las empresas deben , por tanto, identificar los impactos para la organización
en el caso de que las posibles amenazas se produzcan. Esta tarea es uno de
los objetivos del análisis de riesgos que debe real izar toda organización.
Actividades propuestas
4·· ¿Crees que la evaluación de riesgos será igual para todas las empresas? ¿Por qué?
5" Enumera posibles preguntas que podrían hacerse en la realización de una evaluación de riesgos.
6" Busca en Internet aplicaciones comerciales que permitan realizar una evaluación de riesgos.
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
14
1.2. Violación de la integridad. La vulneración de la integridad tien e distinto significado según se produzca
en un equ ipo o en una red de comunicacion es:
Equipo de trabajo. Se produce violación de la integridad cuando un
usuali o no legítimo modific a información del sistema sin ten er autori-
zación para ello.
Red de comunicaciones. Existe violación de la integridad cuando un
atacante actúa como in temlediario en una comunicación, recibe los da-
tos enviados por un usuario, los modifica y se los envía al r eceptor (ata-
Snifters
ques man ·itHhe-midd¡e). Un m eca nismo que nos protege frente a este
Snlffer es una palabra inglesa que signi-
tipo de ataques es la fimla electrónica . que se estudiará con más deta lle
fica "husmeo".
en unidades posteli ores.
Un snlffer es un tipo de herramienta
utilizada por atacantes para capturar 3.2 > Confidencialidad
información que circula por la red y no
ha sido enviada para ellos. Tambifm se
La confidencial idad es otro de los principios básicos de la seguridad in for-
denomina asi a los usuarios que husmean mática que garantiza qu e la in fonnación solo es accesible e in terpretada
la información transmitida en una red . por personas o sistemas autorizados.
La vu lneración de la confidencial ida d también afecta de fonna diferente a
eq uipos y redes:
Equipo de trabaj o. Se produce una violación de la confidencialidad
cuando un atacante consigue acceso a un equ ipo sin au torización, con-
trolando sus recursos . Un ejemplo sería la obtención de las claves de ac-
ceso. Otro ejemplo, mu cho más simple, se produce cuando un usua rio
--..-:~ aba ndona m om entán eam ente su pu esto de trabajo, dejando su equipo
Emisor
+ Receptor sin bloquear y con infomlación mostrándose en la pantalla.
Red de comun icaciones. Se vulnera la confidencia lidad de una red
O
Intercepción
cua ndo un atacante accede a los m ensajes que circula n por ella sin
tener autorización para ello . Existen mecan ismos que penniten prote-
gerse frente este tipo de ataqu es, como el cifra do de la in formación o el
1.3. Violación de la con fidencialidad.
uso de protocolos de comunicación .
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Unidad 1 - Introducción a la seguridad informática 15
Actividades propuestas
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
16
4 » Políticas de seguridad
La RFC 1244 define la política de seguridad com o:
Actividades propuestas
9·· ¿Crees que establecer normas a los usuarios de una organización para que tengan una contraseña de
acceso segura es una buena política de seguridad?
10 .. Indica qué políticas de seguridad establecerías para evitar la caída de los servidores de la organización .
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Unidad 1 - Introducción a la ~eguridad informática 17
5 » Planes de contingencia
Las políticas de segu¡i dad contemplan la parte de prevención de un sistema,
pero no hay que desechar la posibilidad de que, aun a pesa r de la s medidas
tomadas, pueda ocasionarse un desastre . Hay qu e recordar q ue n ingún Soluciones de alta disponibilidad
sistema es completamente seguro. Es en este caso cuando entran en juego Una solución de alta disponibilidad per-
los planes de contingencia . mite que los sistemas de información de
la organización esten disponibles las 24
El p lan d e contingen cia contiene m edidas d et alladas p ar a con segu ir horas de los 7 días de la semana. (on
la recuper ación del sist em a , es decir, creadas para ser utilizadas cuando esta solución las empresas pueden tener
el sistema fall e, no con la intención de qu e no falle . la posibilidad de no perder in formación
debido a fallos en los sistemas.
La creación de un plan de contingencia debe abarca r las sigu ientes fas es:
Evaluació n: en esta etapa hay que crear el gl.1.lpo que desarrollará el
plan. Se deberán identificar los elementos considerados com o críticos
para la organización, ana lizar el impacto qu e pueda producirse ante u n
desastre y definir cuál es deberán ser las solucion es altemativa s a cada
uno de los probl emas que se puedan producir.
Planificació n : en esta fase se deberá documentar y va lidar el pla n de
contingencia por parte de los responsables de las áreas involucradas de
la organización .
Realización de pruebas pa ra comproba r la viabilidad del plan.
Ejecución del pla n para comprobar qu e efectivamente asegurará la
continu idad de las tareas Cliticas de la organización en caso de posible
catástrofe .
Recuperación: tras el incidente o ataqu e, deberá restablecerse el orden
en la organización.
El plan de contingencia deberá ser revisado periódicamente para que siem -
pre pueda estar de acuerdo con las necesidades de la organización. Entre
las numerosas m edidas que debe recoger, podemos ind icar las sigu ientes:
Ten er redundancia: es decir, ten er dupl icado el hardware para el alma -
cenamiento de la infonnación, de fomla que quede asegu rada la conti-
nu idad de la actividad diaria en caso de problemas con dicho hardware.
Ten er la infor mación alm acenad a de man er a d istribu ida, es decir,
Punto úníco de fallo
no tener almacenada en el m ismo lugar toda la infonna ción considerada
El punto único de fallo o SPOF (5in~le
como crítica para la organización.
Poine 01 Foilure) puede ser un compo-
Ten er un plan d e r ecuperación que contemple las m edidas necesali as
nente hardware, software o electrónico.
para r estaurar el esta do de los recu rsos tal y como estaban antes de la Un fallo en el puede ocasionar un fallo
ma terial ización de la amenaza . Por ejemplo, tener u n bu en plan para general en el sistema. Para evitarlo, se
la realización de copias de seguridad . utiliza la redundancia de elementos para
Ten er a todo el per sonal de la organización formad o y p reparad o evitar la caída del sistema si uno de
ante cualqu ier situación de emergencia. ellos falla.
Actividades propuestas
11·· ¿Quiénes crees que deben elaborar el plan de contingencia para una empresa?
12·· ¿Crees que un plan de contingencia, una vez creado, es ya para toda la vida?
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
18
Actividades finales
.: CONSOLIDACiÓN :.
1·· ¿En qué se diferencian la seguridad activa y La seguridad pasiva?
2·· Indica algunas razones por las que a alguien Le puede interesar realizar un ataque a la seguridad informática de
una empresa.
3·· Enumera posibles activos asociados a una organización.
4·· ¿Cuáles son los posibles puntos débiles en los sistemas informáticos de una organización?
5·· ¿Qué recomendaciones harias para evitar eL acceso no autorizado a La información en una organización?
6 · · Enumera posibles vulnerabilidades asociadas a las estaciones de trabajo en una organización .
7·· Indica, para los siguientes supuestos, qué principios de La seguridad se están violando:
a) Destrucción de un elemento hardware.
b) Robo de un portátil con información de interés de la empresa.
cl Robos de direcciones IP.
dl Escuchas electrónicas.
el Modificación de tos mensajes entre programas para variar su comportamiento.
f) Deshabilitar los sistemas de administración de archivos.
gl Alterar la información que se transmite desde una base de datos.
h) Robos de sesiones.
8·· Pon un ejemplo de ataque por ingeniería social. ¿Cómo crees que se puede proteger una organización ante los
ataques de ingeniería social?
9" Analiza el grado del impacto que pueda ocasionar la acción de una amenaza meteorológica como pueda ser un
huracán para una organización.
10· · ¿En qué consisten y que aspectos deben cubrir las políticas de seguridad?
11" ¿Por que crees que es importante que una organización tenga un plan de contingencia? ¿Qué consecuencias po-
dría haber si no tuviese un plan de contingencia establecido?
12" ¿En qué consiste el análisis de riesgos? ¿Para qué sirve realizar un análisis de riesgos?
13" ¿Que utilidad tienen para las organizaciones los planes de contingencia?
.: APLICACiÓN :.
1" Suponemos que el hospital X está ubicado cerca de un cauce de río que prácticamente no lleva agua. El hospital
tiene su centro de cálculo situado en el sótano. Se han anunciado lluvias fuertes y por tanto existe una alta posibi-
lidad de desbordamiento del río que pasa cerca de la zona debido a la falta de limpieza de su cauce.
Identifica 105 activos, las amenazas y las vulnerabilidades del sistema.
2" ¿Qué tipo de aplicaciones se pueden utilizar para comprometer la confidencialidad del sistema?
3·· Una empresa se ha visto atacada de forma que su página web ha sido modificada sin previa autorización. ¿Qué
tipo de a taque se ha producido? ¿Qué principios de la seguridad se han visto violados?
4" ¿Qué soluciones se podrían aplicar para que el sistema informá tico de una entidad bancaria no se viera afectado
por un desastre que afectara a sus clientes?
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Uni dad 1 - IntroduCCIón a la seguridad informauca 19
Ca so final 11
Instalación y uso de una herramienta de análisis y gestió n de riesgos
• . Instala en tu equipo La herramienta PILAR, desarrollada por eL Centro Criptológico Nacional (CCN), Que im-
plementa la metodología MAGERIT de análisis y gestión de riesgos y Que es de amplia utilización en La Adminis-
tración Pública españoLa. Abre el proyecto de ejemplo Que incLuye, ana!Ízalo y contesta a Las siguientes cues-
tiones:
al ¿Qué tipo de empresa se estudia en el ejemplo?
b) ¿Qué clasificación de activos tiene? ¿Cuáles se encuentran dentro de los de la sección Equipamiento? ¿Qué
aplicación utilizan?
cl ¿Qué vulnerabilidades de los dominios se muestran?
d) Identifica las categorías de amenazas registradas. ¿En Qué categoría entran las siguientes amenazas?
Manipulación de La configuración.
Fuego.
Errores de configuración.
Divulgación de la información.
Corte de suministro eléctrico.
Errores de los usuarios.
Extorsión.
el Proporciona alguna amenaza más por cada categoria.
f) ¿Qué valoración de las amenazas se da para los activos clasificados como Equipos? ¿Y para La Sala de Equipos?
Solución .. las herramientas de software específicas para la gestión de riesgos pueden facilitar en gran
medida el trabajo de análisis y gestión de riesgos en una organización para posteriormente elaborar unas
poLíticas de seguridad y un pLan de contingencia, ya Que trabajan desde el punto de vista de los principios
básicos: confidencialidad, integridad, disponibiLidad y autenticidad.
Antes de comenzar a contestar las preguntas, debes proceder a descargar e instaLar la aplicación. Para ello,
comprueba Que tu equipo cuenta con Los requisitos mínimos necesarios para ltevar a cabo la instaLación de la
herramienta PILAR:
Microprocesador: Intel Pentium, AMD586 o similar.
Disco duro libre: 20 MB .
Memoria libre: 256 MB.
Máquina virtuaL de Java: esta herramienta está desarrollada en Java, por lo Que puede utilizarse en cualquier
sistema operativo (Windows, Linux, Unix, etc) Que disponga de máquina virtual de Java versión 1.5.0 o su-
perior.
Si tu equipo cumple con Los requisitos, descarga La apLicación
desde la página https://www.ccn-cert.cnLes/ haciendo dic en
PILAR (4.4 .5 - beld 23 .11. 20 10 ) (g)
Herramientas I EAR I PUar. l eterTlfllO) Unidad admirHtraliva
Instala la herramienta y carga el proyecto de ejemplo Que viene biblioteca: std
PI.AR# (4.4.2 . 24.2.2010)
incluido. Ahora ya puedes responder a las preguntas planteadas.
domjm06 1 ~ 17: 1 2CEST 2010
a) Como puedes ver en la imagen, la empresa Que se estudia
en eL ejemplo es una unidad administrativa consistente en una I Aceptar I
biblioteca.
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
20
b) Esta unidad administrativa tiene la siguiente clasificación de activos, incluyendo eL detalle de la sección
Equipamiento:
t 13 1SW1 ~ ...1onH
A ISW_..... IT' _acl6n ... ·r •• """
, Q ¡lfWI t,. ',..
A ¡PC I _ ..... " ......
A ISRVI 5,,'01'1
.. O ICOMIC _ _ .,
ClIWlQDoo, . .... MI PETO'
=- 15515"'" ......._
A 1.t.OStIC... uh ..... ....
;;;;", Ill _ _ _
A ,,,",,,.,--
A ¡cltl_tlu.a JI
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Uni dad 1 • IntroduCCIón a la seguridad informauca 21
Como también se puede ver en la imagen, la categorización de las amenazas indicadas es la siguiente:
Manipulación de la configuración: [AJ Ataques deliberados
fuego: [NJ Desastres naturales
Errores de coofiguradón: [EJ Errores y fallos no intencionados
Divulgación de la informadón: [AJ Ataques deliberados
Corte de suminstro eléctrico: [IJ De origen industrial
Errores de los usuarios: [EJ Errores y fallos no intencionados
Extorsion: [AJ Ataques deliberados
e) Ademas de las expuestas, se podrian incluir algunas amenazas mas en las distintas categorías:
Desastres naturales: daños por agua, desastres naturales.
De origen industrial: contaminación mecánica, contaminación electromagnética.
Errores y fallos no intencionados: errores del administrador, pérdidas de equipos.
Ataques deliberados: robo de material informático, incendios provocados.
f) Para acceder a la valoradón de las amenazas, en el árbol de categorías, debes desplegar la opción Andlisis
de riesgos I Amenazas I valoración.
I"'-.::=~
....
"'J ...... __ I
. ,.____ LO
Para el equipamiento, la valoradón de las amenazas que se da es que existe un 100%, tanto en disponibilidad
(O), como en integridad (1), confidencialidad (C), autenticación (A) y trazabilidad (T). Por lo tanto, los
niveles de seguridad son óptimos.
En cambio, la sala de equipos tiene un 100% en disponibilidad (O), pero en el resto, en integridad (1), confi·
dencialidad (C), autenticadón (A) y trazabilidad (T), tiene unicamente una valoradón del 50%, con lo que su
seguridad es bastante mejorable.
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
22
Ideas clave
De la información
Seguridad Informática
Vulnerabilidades
Ataques
Conceptos básicos Amenazas
Riesgos
Impactos
Desastres
INTRODUCCiÓN
A LA SEGURIDAD
Integridad
INFORMATICA
Confidencialidad
Principios de la seguridad
Disponibilidad
Políticas de seguridad
Planes de contingencia
"+ ,.
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.
Unidad 1 - IntroduCCIón a la seguridad informauca REVISTA DE INFORMÁTICA
íJ''j IJ j 8:;
Actividades
1·· ¿Por qué crees que Las e mpresas no están impLementando las medidas de protección apropiadas para saL-
vaguarda r su información?
2·· Según eL te xto, ¿qué a menazas a La seguridad pueden sufrir Las pymes? ¿Qué otras amenazas añadirias?
Escrivá Gascó, Gema, Romero Serrano, Rosa María, and Ramada, David Jorge. Seguridad informática. España: Macmillan Iberia, S.A., 2013. ProQuest ebrary. Web. 3 March 2015.
Copyright © 2013. Macmillan Iberia, S.A.. All rights reserved.