Informática

Seguridad
m

GESTIÓN ESTRATÉGICA EN
SEGURIDAD INFORMÁTICA

Unidad 3. Control de riesgos

 Unidad 3. Control de riesgos

Control de riesgos

La seguridad de un sistema de información debe abordarse desde un enfoque

integral que abarque tanto la seguridad lógica como la física, ya que ambas cate-
gorías de seguridad son igual de importantes, por lo que la falta o deficiencia de
una afectará la seguridad y, por lo tanto, el sistema quedará vulnerable.

El control de riesgos debe verificar el funcionamiento y el desempeño de los

mecanismos de protección establecidos para evaluar su efectividad y realizar
modificaciones en caso de ser necesario. En las siguientes secciones, analizare-
mos algunos mecanismos que nos ayudarán a proteger los activos y establecer
un esquema de seguridad.

Seguridad lógica

La seguridad lógica se enfoca en la parte intangible de un sistema de informa-

ción, como son: el software, los datos y el acceso autorizado de los usuarios a los
recursos. En este tipo de seguridad, se deben considerar las medidas necesarias
para otorgar los privilegios que permitan a las personas realizar sus activida-
des y, al mismo tiempo, delimitar el acceso a los recursos que no necesitan ser
consultados. Si no se toman las debidas precauciones, se corre el riesgo de que
los activos sufran daños parcial o totalmente.

2
 Unidad 3. Control de riesgos

Control de acceso

En este apartado, abordaremos el control de acceso desde el punto de vista lógi-

co. Existe un modelo de seguridad llamado AAA (Authentication, Authorization
and Accounting), cuyo objetivo es controlar el acceso a los recursos de un siste-
ma. Dicho modelo se apoya en tres elementos:

®® Autenticación: hace referencia al proceso a través del cual una persona comprueba
su identidad, por ejemplo: una clave de acceso o una huella digital.

®® Autorización: limita lo que el usuario puede hacer dentro del sistema.

®® Registro de eventos: es la capacidad del sistema para registrar la actividad o el

uso de los recursos por parte de los usuarios, un ejemplo son los archivos logs que
guardan los servidores.

A través del control de acceso, se pueden establecer medidas para controlar el

acceso a los recursos de tipo lógico, mediante la gestión de cuentas y sus privile-
gios asociados. Este tipo de control lo podemos encontrar en los sistemas opera-
tivos y es posible distinguir dos tipos:

®® MAC (mandatory access control o control de acceso obligatorio): en este

esquema, las políticas de acceso están centralizadas y definidas en el sistema, por
lo que los usuarios no pueden cambiarlas.

®® DAC (discretionary access control o control de acceso discrecional): en

este esquema, es el usuario quien controla el acceso a cada objeto del que es
propietario.

Criptografía

Debido al rápido avance de la tecnología en los últimos años, es muy común que,
actualmente, las personas envíen y reciban información a través de diferentes
canales de comunicación, lo que ha generado una serie de problemas, ya que
algunos individuos han identificado la manera de interceptar la información y
utilizarla con otros fines. A través de los canales de comunicación, puede viajar
información de todo tipo, desde un simple saludo hasta datos confidenciales,
como contraseñas o números de tarjetas. Una forma de salvaguardar la confi-
dencialidad de la información es evitando que ésta viaje tal cual a través del
canal, es decir, que se le aplique algún método de encriptación, de manera que,
si es interceptada, no sea legible para otra persona.

Berenguel (2016) define la criptografía de la siguiente manera:

La criptografía es una rama de la criptología que se encarga de estudiar las

técnicas para ocultar información. El motivo por el que se usa la criptogra-
fía es que tanto el emisor como el receptor de la información desean que
3
 Unidad 3. Control de riesgos

el mensaje no sea leído por otros (confidencialidad), que el mensaje no

pueda ser modificado (integridad), que no se puede suplantar la identidad
del emisor (autenticación) (p. 93).

Como podemos apreciar, la encriptación tiene como propósito mantener y garan-

tizar la confidencialidad de la información. De manera general, los métodos para
encriptar la información se pueden dividir en dos categorías:

®® Algoritmos simétricos o de clave privada. En este tipo de algoritmos, debe

existir una llave única que se utilice para encriptar y desencriptar el mensaje. Tanto
el emisor como el receptor deben conocer la clave.

Fuente: Gómez (2017).

4
 Unidad 3. Control de riesgos

®® Algoritmos asimétricos o de clave pública. En este tipo de algoritmos,

existen dos claves, una pública y una privada, en cada uno de los extremos de la
comunicación.

Fuente: Gómez (2017).

5
 Unidad 3. Control de riesgos

Antivirus

Existe un conjunto de programas cuyo objetivo es causar daño en los equipos

de cómputo introduciéndose de forma no autorizada. El más común de estos
programas es el llamado “virus informático”, el cual busca autopropagarse para
extender su alcance a través de diferentes formas, tales como:

®® De un dispositivo de almacenamiento a otro.

®® De documento a documento.

®® De programa a programa.

®® A través de correo electrónico.

®® A través de recursos compartidos en una red.

®® A través de servicios de mensajería instantánea.

El objetivo de los virus es provocar la pérdida de información, alterar los datos

o afectar el funcionamiento del equipo. Para contrarrestar los efectos de estos
programas malintencionados, han surgido otro tipo de programas llamados “anti-
virus”, cuyo objetivo es servir como un mecanismo de defensa, identificado al
virus para bloquearlo antes de que cause daños en el equipo.

Los antivirus deben estar en constante actualización, debido a que cada día
surgen nuevos virus o los ya existentes modifican su comportamiento.

Firewalls

De acuerdo con Aguilera (2010), “un firewall es un dispositivo, o conjunto de

ellos, que está configurado para impedir el acceso no autorizado a una determi-
nada zona de una red o dispositivo, pero que al mismo tiempo permite el paso a
aquellas comunicaciones autorizadas” (p. 154).

La implementación de un firewall puede llevarse a cabo a través de hardware,

de software o de un híbrido de ambos. Cualquiera que sea la implementación, el
firewall debe enfocarse en la aplicación de políticas, las cuales pueden ser de dos
tipos: restrictivas y permisivas.

®® Políticas restrictivas: en este tipo de políticas, se restringe todo el tráfico, salvo

aquellas excepciones que se hayan especificado.

®® Políticas permisivas: es el caso contrario a las restrictivas, ya que aquí se permite

el paso a todo el tráfico, excepto aquellos elementos a los que expresamente se les
impida el acceso.

6
 Unidad 3. Control de riesgos

Algunos sistemas operativos o programas antivirus contemplan un firewall lógi-

co, como el sistema operativo Windows.

Imagen. Firewall Windows 10.

Firma digital

La firma autógrafa es un mecanismo a través del cual se puede verificar la iden-

tidad de una persona. Esta firma está compuesta por una serie de caracteres
o símbolos que la persona plasma de su propia mano y sirve para dar consen-
timiento. Este mecanismo ha sido utilizado durante décadas, sin embargo, se
torna lento si la persona que lo va a recibir y quien lo va a firmar se encuentran
separados por distancias considerables. Asimismo, existen situaciones en las que
se debe firmar un documento y debe ser enviado a otro estado o país en cuestión
de minutos. Otro problema derivado de la firma autógrafa es la falsificación, ya
que ciertas personas tienen la capacidad de reproducir la firma de una persona,
sin que el engaño pueda ser detectado a simple vista.

Un mecanismo que puede sustituir a la firma autógrafa en ciertas situaciones es

la llamada firma electrónica digital, la cual es definida por Gómez (2017) como
“los datos añadidos a un conjunto de datos que permiten al receptor probar el
origen y la integridad de los datos, así como protegerlos contra falsificaciones”.

Las firmas digitales se basan en criptografía asimétrica y deben tener las siguien-
tes características:

®® La firma es personal, por lo que se debe garantizar que pertenece al legítimo

propietario.

®® Sólo puede ser generada por el emisor.

7
 Unidad 3. Control de riesgos

®® Debe garantizar que no sea falsificable.

®® Debe existir un mecanismo para identificar si el mensaje fue alterado.

®® No se puede alterar un documento que ya ha sido firmado.

Certificado digital

Lacalle (2014) define al certificado como “un documento digital mediante el cual
una entidad de certificación (tercero confiable), garantiza la identidad de una
persona física o jurídica” (p. 175). En otras palabras, el certificado es un docu-
mento a través del cual una autoridad de certificación valida la relación entre una
persona y una firma digital.

Una autoridad de certificación tiene como objetivo garantizar la identidad de los

usuarios por medio de la emisión de certificados digitales. Los certificados digi-
tales contienen el nombre del usuario, la clave pública, el periodo de vigencia
y la clave privada de la autoridad certificadora para garantizar la autenticidad.
Existen diferentes tipos de certificados, los cuales se pueden catalogar de la
siguiente forma:

®® De usuario final: son certificados que se otorgan a personas físicas y contienen

los datos personales.

®® De firma de software: son certificados que se otorgan a empresas para verificar

los productos que han desarrollado.

®® De servidores: son certificados para garantizar que un servidor pertenece a una

empresa.

Imagen. Proceso de obtención de certificados digitales. Fuente: Díaz, Alzórriz, Sancristóbal

y Castro (2014).
8
 Unidad 3. Control de riesgos

Seguridad física

La seguridad física es el conjunto de procedimientos, obstáculos y mecanismos

de control que se emplean para preservar los recursos de amenazas. Dentro de
la organización, uno de los aspectos que no se deben pasar por alto es la segu-
ridad del entorno físico, el cual se concibe como el área donde se encuentra el
equipo de cómputo y telecomunicaciones. Algunas consideraciones importantes
para proveer seguridad al lugar son:

®® Control de acceso al entorno físico.

®® Instalación eléctrica en buenas condiciones.

®® Temperatura del área regulada.

®® Sistema de control contra incendios.

®® Adquisición de seguros contra daños.

Dispositivos físicos

El hardware es parte fundamental de los sistemas de información, ya que sin

él no tendríamos la capacidad de procesamiento ni de almacenamiento. Por tal
motivo, es vital proteger todo el equipo y los dispositivos que conforman el siste-
ma, para lo cual pueden tomarse en cuenta las siguientes medidas:

®® Alimentación continua: se debe procurar que los equipos mantengan un flujo

continuo de energía, para lo cual se puede hacer uso de UPS (Uninterruptible
Power Supply).

®® Monitoreo del hardware: se deben realizar verificaciones periódicas del

funcionamiento del hardware, con el objetivo de detectar errores que puedan
afectar la operación.

®® Sujeción de componentes físicos: es importante verificar que los componente

físicos estén sujetos de manera adecuada, ya que las vibraciones podrían dañar el
hardware.

®® Renovación de equipos: no se trata solamente de cambiar los equipos que ya

no funcionan, sino también de considerar su grado de obsolescencia, incluso si aún
funcionan.

®® Uso de racks: son un mecanismo que permite organizar los dispositivos para
evitar accidentes por la mala instalación del equipo o del cableado.

9
 Unidad 3. Control de riesgos

Copia de seguridad

Como hemos mencionado, uno de los objetivos de la seguridad es garantizar la

confidencialidad, integridad y disponibilidad de la información. En este sentido,
las copias de seguridad juegan un papel fundamental para proteger la integridad
y la disponibilidad, ya que la información se almacena en dispositivos que son
susceptibles de presentar alguna falla y, si no se toman las medidas necesarias,
se corre el riesgo de perder la información parcial o totalmente.

Aguilera (2010) define las copias de seguridad como “duplicados de toda la infor-
mación o parte de ella que se desee conservar y almacenar en algún medio inde-
pendiente del que se encuentra normalmente, ya sea a través de internet, en
otro disco duro o en un medio extraíble” (p. 194).

Cuando nos referimos a los respaldos de información, lo hacemos en dos

sentidos, es decir: el proceso de respaldar y el proceso de recuperar los datos
posteriormente. Existen tres tipos de respaldos:

®® Completo: es el más simple de los respaldos, ya que, como su nombre lo indica,

se realiza una copia completa de todos los archivos. Este tipo de respaldo puede
ser más lento que los otros.

®® Incremental: la primera vez que se realiza este tipo de respaldo se hace una copia
total de los datos. Posteriormente, se copian los datos que hayan cambiado desde
el último respaldo realizado, es decir, sólo se copian los cambios más recientes.
Para restaurar la información, se deberá copiar el primer respaldo y cada uno de
los respaldos que se fueron realizando.

Fuente: Dordoigne (2015).

®® Diferencial: en este tipo de respaldo, también se copiarán todos los datos la

primera vez y, posteriormente, se copiarán todos los datos que hayan cambiado,
tomando como referencia la copia inicial. Para restaurar los datos, se necesita el
respaldo inicial y el respaldo más reciente.
10
 Unidad 3. Control de riesgos

Fuente: Dordoigne (2015).

11
 Unidad 3. Control de riesgos

Referencias

®® Aguilera, P. (2010). Redes seguras. En Seguridad informática (pp. 152-155).

España: Editex.

®® Berenguel, J. (2016). Arquitecturas distribuidas orientadas a servicios. En

Desarrollo de aplicaciones web distribuidas (pp. 57-68). España: Ediciones
Paraninfo.

®® Díaz, G., Alzórriz, I., Sancristóbal, E., y Castro, M. (2014). Certificación,

autenticación e integridad de la información. Firma digital y PKI. En Procesos
y herramientas para la seguridad de redes. España: Universidad Nacional de
Educación a Distancia.

®® Dordoigne, J. (2015). Plan de continuidad de la actividad. En Redes informáticas

- Nociones fundamentales (pp. 95-97). España: Ediciones ENI.

®® Gómez, A. (2017). Herramientas para la seguridad en redes de ordenadores.

En Enciclopedia de la seguridad informática (pp. 463-470). España: RA-MA.

®® Lacalle, G. (2014). La factura. En Operaciones administrativas de compraventa

(pp. 194-196). España: Editex.

12