Unidad 1 – Tratamiento seguro de la información

Introducción a la seguridad en los sistemas de

información

Introducción
Hasta finales de 1988 muy poca gente tomaba en serio el tema de la
seguridad en redes de computadores de propósito general. Mientras que por
una parte Internet iba creciendo exponencialmente con redes importantes
que se adherían a ella, como BITNET o HEPNET, por otra el auge de la
informática de consumo (hasta la década de los ochenta muy poca gente se
podía permitir un ordenador y un módem en casa) unido a factores menos
técnicos (como la película Juegos de Guerra, de 1983) iba produciendo un
aumento espectacular en el número de piratas informáticos.
Sin embargo, el 22 de noviembre de 1988 Robert T. Morris protagonizó el
primer gran incidente de la seguridad informática: uno de sus programas se
convirtió en el famoso worm o gusano de Internet. Miles de ordenadores
conectados a la red se vieron inutilizados durante días, y las pérdidas se
estimaron en millones de dólares. Un par de años más tarde, el 15 de Enero
de 1990, la red de llamadas de larga distancia de la AT&T dejó de funcionar
por un fallo de sus programas informáticos, dejando a medio Estados Unidos
sin poder llamar por teléfono. El escándalo fue enorme. AT&T no quería
reconocer que se había equivocado e, indirectamente, le echaron la culpa a
los hackers. Comenzaba así en Estados Unidos la denominada "Caza de
Hackers", recogida por Bruce Sterling en su obra "The Hacker
Crackdown".
Desde estos incidentes, la seguridad en los sistemas de información ha sido
un factor a tener muy en cuenta por cualquier responsable o administrador
de sistemas informáticos y más a día de hoy con cada vez más dispositivos
interconectados no solo locálmente sino también a través de Internet.

Aproximación al concepto de seguridad en sistemas de

información
Una de las acepciones de la RAE para el término seguro, que es la que aquí
nos interesa, es la de estar libre y exento de todo peligro, daño o
riesgo.
Podemos entender entonces, como seguridad una característica de
cualquier sistema (informático o no) que nos indica que ese sistema está
libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible.
La seguridad informática es la disciplina que se ocupa de diseñar las
normas, procedimientos, métodos y técnicas destinados a conseguir un
sistema de información seguro y confiable.
Es bien cierto que todo sistema de información, a pesar de las medidas de
seguridad que se le apliquen no deja de tener siempre un margen de

1
Unidad 1 – Tratamiento seguro de la información

riesgo, es por ello que nos encontramos en algunos con el termino

sistemas fiables en lugar de hacerlo con el de sistemas seguros.

Gestión de riesgos, activo, amenaza, vulnerabilidad, impacto y

probabilidad1
• Activo: cualquier recurso de la empresa necesario para desempeñar
las actividades diarias y cuya no disponibilidad o deterioro supone
un agravio o coste. La naturaleza de los activos dependerá de la
empresa (datos, software, hardware, redes, instalaciones,...), pero
su protección es el fin último de la gestión de riesgos. La
valoración de los activos es importante para la evaluación de la
magnitud del riesgo.
• Amenaza: circunstancia desfavorable que puede ocurrir y que
cuando sucede tiene consecuencias negativas sobre los activos
provocando su indisponibilidad, funcionamiento incorrecto o
pérdida de valor.
En función del tipo de alteración, daño o intervención que podrían
producir sobre los activos, las amenazas se clasifican en cuatro
grupos:
▪ De interrupción. Puede provocar que un objeto del sistema se
pierda, quede no utilizable o no disponible; por ejemplo,
destruyendo componentes físicos como el disco duro,
bloqueando el acceso a los datos, o cortando o saturando los
canales de comunicación.
▪ De interceptación. Puede provocar que un programa, proceso o
usuario consiga acceder a recursos para los que no tiene
autorización.
▪ De modificación. Puede provocar que un programa, proceso o
usuario no solo tenga acceso a un recurso del sistema sino
que además este pueda ser modificado.
▪ De fabricación. Permite insertar nuevos objetos al sistema (por
ejemplo información falsa).
Según su origen, las amenazas se clasifican en:
▪ Accidentales. Accidentes meteorológicos, incendios,
inundaciones, fallos en los equipos, en las redes, en los
sistemas operativos o en el software o errores humanos.
▪ Intencionadas . Son debidas siempre a la acción humana
consciente (no a errores). Las amenazas intencionadas
pueden tener su origen en el exterior de la organización o
incluso en el personal de la misma.

1Fuente:
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_g
estion_riesgos_metad.pdf

2
Unidad 1 – Tratamiento seguro de la información

• Vulnerabilidad: debilidad que presentan los activos y que facilita la

materialización de las amenazas.
• Impacto: consecuencia de la materialización de una amenaza
sobre un activo aprovechando una vulnerabilidad. El impacto se
suele estimar en porcentaje de degradación que afecta al valor
del activo, el 100% sería la pérdida total del activo.
Los impactos pueden ser:
▪ Cuantitativos, si los perjuicios pueden cuantificarse
económicamente.
▪ Cualitativos, si suponen daños no cuantificables, como los
causados contra los derechos fundamentales de las personas.
El siguiente diagrama muestra las relaciones entre estos conceptos:

◦ Probabilidad: es la posibilidad de ocurrencia de un hecho, suceso o

acontecimiento. La frecuencia de ocurrencia implícita se corresponde
con la amenaza. Para estimar la frecuencia podemos basarnos en
datos empíricos (datos objetivos) del histórico de la empresa, o en
opiniones de expertos o del empresario (datos subjetivos).
◦ El nivel de riesgo es una estimación de lo que puede ocurrir. Se
valora, de forma cuantitativa, como el producto del impacto
(consecuencia) asociado a una amenaza (suceso), por la
probabilidad de la misma:

Trabajar con magnitudes económicas facilita a las

organizaciones establecer el llamado umbral de riesgo: el
nivel máximo de riesgo que la empresa está dispuesta a soportar.

3
Unidad 1 – Tratamiento seguro de la información

La gestión de riesgos debe mantener el nivel de riesgo siempre por

debajo del umbral.
Por otro lado, se denomina coste de protección al coste que
supone para las organizaciones mantener el nivel de riesgo por
debajo del umbral deseado. Las organizaciones deben vigilar de no
emplear más recursos de los necesarios para cumplir ese objetivo.
En la siguiente gráfica podemos ver como ambos conceptos, riesgo
y coste de protección, se relacionan.

Ante un determinado riesgo, una organización puede optar por tres

alternativas distintas:
▪ Asumirlo sin hacer nada. Esto solamente resulta lógico cuando el
perjuicio esperado no tiene valor alguno o cuando el coste de
aplicación de medidas superaría al de la reparación del daño.
▪ Aplicar medidas para disminuirlo o anularlo.
▪ Transferirlo (por ejemplo, contratando un seguro).

Propiedades de un sistema de información seguro

Se considera un sistema seguro el que cumple con las propiedades de
integridad, confidencialidad y disponibilidad de la información. Cada una de
estas propiedades conlleva la implantación de determinados servicios y
mecanismos de seguridad que se estudiaran más adelante.
 Integridad: es la propiedad que busca mantener los datos libres de
modificaciones no autorizadas. Es decir, la integridad es mantener
con exactitud la información tal cual fue generada, sin ser
manipulada ni alterada por personas o procesos no autorizados.
 Confidencialidad: es la propiedad que impide la divulgación de
información a individuos, entidades o procesos no autorizados. A
grandes rasgos, asegura el acceso a la información únicamente a
aquellas personas que cuenten con la debida autorización.
 Disponibilidad: es la propiedad que asegura que la información esté
disponible cuando lo requieran los individuos, entidades o procesos
autorizados.

4
Unidad 1 – Tratamiento seguro de la información

Dependiendo de los sistemas, puede ser necesario garantizar también la

autenticación y el no repudio:
 Autenticación (o identificación): consiste en verificar que un
usuario identificado que accede a un sistema o que genera una
determinada información es quien dice ser. Solo cuando un usuario o
entidad ha sido autenticado, podrá tener autorización de acceso. Se
puede exigir autenticación en la entidad de origen de la información,
en la de destino o en ambas.
 No repudio (o irrenunciabilidad): proporcionará al sistema una
serie de evidencias irrefutables de la autoría de un hecho.
El no repudio consiste en no poder negar haber emitido una
información que sí se emitió y en no poder negar su recepción cuando
sí ha sido recibida.
De esto se deduce que el no repudio puede darse:
◦ En origen. El emisor no puede negar el envío porque el receptor
tiene pruebas certificadas del envío y de la identidad del emisor.
◦ En destino. En este caso es el destinatario quien no puede negar
haber recibido el envío ya que el emisor tiene pruebas
infalsificables de la recepción y de la identidad del destinatario.

Tipos de medidas de seguridad

Los tipos de medidas seguridad se pueden clasificar en activas/pasivas y
físicas/lógicas:
Seguridad Activa: comprende el conjunto de defensas o medidas cuyo
objetivo es evitar o reducir los riesgos que amenazan al sistema.
Ejemplos: impedir el acceso a la información a usuarios no
autorizados mediante introducción de nombres de usuario y
contraseñas; evitar la entrada de virus instalando un antivirus;
impedir, mediante cifrado, la lectura no autorizada de mensajes.
Seguridad Pasiva: está formada por las medidas que se implantan para
que, una vez producido el incidente de seguridad, minimizar su repercusión
y facilitar la recuperación del sistema.
Ejemplo: copias de seguridad frecuentes de los datos.
Seguridad física: consiste en la aplicación de barreras físicas y
procedimientos de control frente a amenazas físicas al hardware. Este tipo
de medidas de seguridad están enfocados a cubrir las amenazas
ocasionadas tanto por el hombre como por la naturaleza del medio físico en
que se encuentra ubicado el sistema. Las principales amenazas que se
prevén son:
 Desastres naturales, incendios accidentales y cualquier
variación producida por las condiciones ambientales.
 Amenazas ocasionadas por el hombre como robos o sabotajes.

5
Unidad 1 – Tratamiento seguro de la información

Seguridad lógica: tiene como objetivo proteger digitalmente la

información de manera directa. Trata de conseguir los siguientes objetivos:
 Restringir el acceso a los programas y archivos.
 Asegurar que los usuarios puedan trabajar sin supervisión y no
puedan modificar los programas ni los archivos que no
correspondan.
 Asegurar que se estén utilizados los datos, archivos y programas
correctos en y por el procedimiento correcto.
 Verificar que la información transmitida sea recibida sólo por el
destinatario al cual ha sido enviada y que la información recibida
sea la misma que la transmitida.
 Disponer de canales alternativos de emergencia para la
transmisión de información.