Principales mecanismos para la

protección de activos de información I

[3.1] ¿Cómo estudiar este tema?

[3.2] Resumen de las principales herramientas criptográficas

para la protección de la triada CID

[3.3] Consideración de los requisitos de privacidad, anonimato y

gestión adecuada de la trazabilidad de usuarios

[3.4] Referencias bibliográficas

3 TEMA
 Sistemas de detección de intrusos INTEGRIDAD
Esquema

TEMA 3 – Esquema
Integridad
…de entidad
Bases de datos
…referencial
…transnacional
…reglas de
negocios
CONFIDENCIALIDAD DISPONIBILIDAD

Cifrado datos Autenticación Autorización Clasificación datos Redundancias:

2
SAI, clusters de
servidores,
Cifrado: clave Algo que RAID, etc.
Control de
simétrica conoce acceso
Blackups,
Clave Algo que Obligatorio.
tiene
gestión de
asimétrica:
intercambio
errores en
Discrecional.
clave firma Algo que software.
digital. es Basado en roles.
Control de
Basado en
reglas. versiones, EMS.

© Universidad Internacional de La Rioja (UNIR)

Calidad y Auditoría de Sistemas de Información
 Calidad y Auditoría de Sistemas de Información

Ideas clave

3.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee las Ideas clave que te presentamos a continuación.

Además, tendrás que leer las páginas 96, 97-118, 121-142 y 342-350 del siguiente
libro disponible en la Biblioteca Virtual de UNIR:

Álvarez, G. y Pérez, P. P. (2004). Seguridad informática para empresas y particulares.

Madrid: McGraw Hill.

Un auditor de seguridad ha de contar con dos elementos fundamentales para evaluar la

calidad de un SGSI: la base documental de las políticas de seguridad y los mecanismos
para llevarlas a término. El objetivo de este tema es recalcar al ingeniero informático la
importancia que la confidencialidad, integridad y disponibilidad (CID) tienen para la
protección de los activos de información, de cara a garantizar la privacidad de los datos
personales para que sean utilizados de forma segura. Así, el tema mostrará las
principales herramientas criptográficas para preservar las tres propiedades al igual que
se adentrará en el reto que supone las nuevas tecnologías como Cloud Computing y Big
Data en aspectos de privacidad.

3.2. Resumen de las principales herramientas criptográficas para

la protección de la tríada CID

El conocimiento de las tecnologías básicas involucradas en la protección de activos de

información es un requisito indispensable que ha de satisfacer todo auditor de la
seguridad de la información.

En efecto, si bien no es necesario un conocimiento exhaustivo de los principios teóricos

detrás de cada una de esas medidas, sí que es obligatoria una compresión en detalle de
las funcionalidades y necesidades cubiertas con tales herramientas. A este respecto,
precisamente, conviene subrayar que la labor del auditor responde al requerimiento de
validar la vinculación y coherencia entre políticas de seguridad (con el

TEMA 3 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

subsiguiente entramado de estándares, normas, procedimientos y directrices) y las

herramientas de protección de activos utilizadas.

Dicho de otro modo, a cada expectativa de seguridad ha de corresponder un

despliegue/configuración de herramientas de protección de activos.

Aquellas herramientas de protección de activos pueden ser elementos hardware o

software. En este tema nos centraremos en los mecanismos de protección software para
preservar la confidencialidad, la integridad y la disponibilidad, haciendo especial énfasis
en los procedimientos criptográficos necesarios para garantizar (en la medida de lo
posible) la seguridad de nuestros sistemas de información.

Igualmente, habremos de dar cuenta de otros elementos que son necesarios para
preservar ciertas características de seguridad sin necesidad de utilizar base criptográfica
alguna.

Protección de la confidencialidad de activos

En relación a la confidencialidad de los activos, las principales contramedidas

frente amenazas, de acuerdo con Álvarez y Pérez, (2004, p. 96), se pueden clasificar en
cuatro grupos.

Cifrado de datos. El cifrado de datos involucra la transformación de texto

inteligible en texto que no puede ser interpretado de acuerdo con un lenguaje
natural. Desde el punto de vista más general, los procedimientos de cifrado se
dividen en dos grandes familias:
o Cifra simétrica o de clave secreta: la función de transformación del texto
original requiere el uso de una clave secreta, la cual es de igual forma requerida
para efectuar el descifrado de la información. Algoritmos como DES, AES y RC4
son ejemplos de cifrados simétricos.

o Cifra asimétrica o de clave pública: cada potencial usuario del sistema

dispone de un par de claves, de modo que cada usuario tiene una clave pública
y una clave privada. La clave pública no ha de ser protegida, es más, es
públicamente conocida y la información cifrada con la clave pública (privada)
solo puede ser descifrada mediante la correspondiente clave privada (pública).
El algoritmo de cifra asimétrica más conocido es el RSA.

TEMA 3 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

M C M

texto a cifrar texto cifrado

clave de cifrado algoritmo de cifrado

clave de descifrado Algoritmo de descifrado

Figura 1. Cifrado de datos.

Las funcionalidades cubiertas por la cifra asimétrica residen en el carácter público de

una de las claves asociada a un usuario, carácter público que no implica vulnerabilidad
alguna (ya que no es posible inferir la clave pública a partir de la clave privada).

Si queremos enviar a un usuario específico una clave de sesión bastará que cifremos
la misma mediante su clave pública. El destinatario consecuentemente, obtiene la
clave de sesión sin más que emplear su clave privada.

En consecuencia, una de las principales funciones de criptografía de clave

asimétrica es la distribución de claves de sesión.

Una clave de sesión suele emplearse para cifrar mediante cifra simétrica
mensajes en una sesión de comunicación.
Por otro lado, dado que la clave privada solo está en posesión de un cierto usuario, se
puede emplear dicha clave como mecanismo de autenticación. Así, si quiero
autenticarme de cara a un usuario que conoce mi clave pública, bastará que dicho
usuario me envíe un mensaje y me pida que lo cifre mediante mi clave privada.

Al recibir aquel usuario el mensaje que he cifrado con mi clave privada lo descifrará
mediante la correspondiente clave pública. En caso de que el desafío-respuesta sea
satisfactorio (es decir, si el mensaje obtenido al descifrar mediante mi clave pública
es igual al mensaje original) se da por validada mi identidad (digital).

Además es posible que se requiera autenticar un cierto mensaje en lugar de verificar

una identidad digital. Este tipo de autenticación está sustentado por la denominada
firma digital. Si al enviar un mensaje quiero firmarlo digitalmente, lo que haré será
cifrar mediante mi clave privada el hash o resumen del mensaje.

TEMA 3 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

El receptor posteriormente recuperará dicho resumen haciendo uso de mi clave

pública y dado que también ha recibido el mensaje que le he enviado, lo compara con
el hash del mensaje original. Si son iguales concluirá que la integridad del mensaje no
se ha visto perturbada a lo largo del canal de comunicación.

El cifrado de información se suele llevar a cabo mediante cifra simétrica (DES,

AES, RC4) debido a que esta emplea claves mucho más pequeñas que la cifra
asimétrica y por tanto, es mucho más rápida. La cifra asimétrica, en cambio, se
emplea para el intercambio de claves de cifrado, la autenticación y la firma
digital.

Autenticación de usuarios. Para poder llevar a cabo la implantación de una

política de seguridad es preciso contar con mecanismos automáticos de validación
de usuarios, es decir, hay que autenticar a los usuarios asociando a las identidades
físicas sus correspondientes identidades digitales. Evidian (2015) muestra los
principales métodos de autenticación más utilizados desde simples contraseñas o
tarjetas hasta el empleo de características biométricas.

Autorización de usuarios. El desarrollo de una adecuada arquitectura de

seguridad de la información demanda la separación entre la autenticación de
usuarios y la autorización de las actividades a efectuar. Si la autenticación involucra
una ligazón entre identidad física e identidad digital, la autorización lleva asociada
una translación de las propiedades de los activos de información al plano de tipo
de operaciones que se permiten llevar a cabo con ellos.

Este procedimiento de traducción o asociación de permisos a usuarios se puede

efectuar siguiendo diversas metodologías o modelos de control de acceso (López,
2014). Así se hablará de control de acceso obligatorio, control de acceso
discrecional, control de acceso basado en roles y control de acceso
basado en reglas.

La autorización de usuarios no es sino la creación de una cierta metodología. Dicha

metodología puede consistir en un sistema centralizado de asignación de
niveles de acceso muy estricto basado en la clasificación y etiquetado
de información.

En este supuesto se dice que el control de acceso es obligatorio y se suele

tipificar mediante las siglas en inglés MAC (Mandatory Access Control).

TEMA 3 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

En el caso de que el usuario pueda asignar permisos de acceso a sus ficheros, se

hablará de control de acceso discrecional o DAC (Discretionary Access
Control). En este punto cabe destacar las listas de control de acceso o ACL
(Access Control List) como soporte de las políticas discrecionales de acceso a
recursos.

Si se decide emplear una autoridad central para asignar niveles de acceso de

acuerdo con los roles o funciones de los distintos usuarios de un sistema
de información, entonces estaremos empleando un sistema de control de
acceso basado en roles o RBAC (Role-Based Access Control). Otra
posibilidad es crear un sistema de control basado en reglas como (Rule-
Based Access Control), por ejemplo, la franja horaria en la que cierto recurso
es accesible.

Clasificación de datos. Tal y como comentamos en el anterior tema, la

identificación de activos de información y la decisión sobre el nivel de acceso que
les corresponde es pieza clave de un SGSI. Además del carácter de dato sensible en
base al impacto de un ataque sobre la actividad de la empresa, hay que tener bien
presentes el conjunto de exigencias legales que afectan a datos personales e
información sobre la actividad financiera y operaciones de nuestra
empresa.

Por otro lado también conviene recordar que no todos los activos requieren el
mismo nivel de protección de confidencialidad. Es más, hay datos que por su
carácter público no requieren la protección de su confidencialidad, aunque sí
que se debe vigilar la consistencia y coherencia de dichos datos con aquellos
activos confidenciales sobre los que se sustentan.

Los cuatro frentes de la confidencialidad abarcan objetivos de almacenamiento

de datos (Álvarez y Pérez, 2004, pp. 97-107), pero también está dentro de su marco de
operación la vigilancia y protección de la información en tránsito (Álvarez y
Pérez, 2004, pp. 107-117). En este tema nos centraremos en la confidencialidad de datos
almacenados, mientras que la protección de la información en tránsito será estudiada en
el siguiente tema.

Los mecanismos de protección de información de modo local (es decir, al ser almacenada
en entornos bajo nuestro control, de modo directo o indirecto) están basados en técnicas

TEMA 3 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

de cifrado, aplicando una máxima de la ingeniería en general, y de la seguridad de

información en particular, como es adoptar soluciones ampliamente evaluadas y
aceptadas en lugar de inventar nuevas soluciones. Ver sección Consejos
básicos en ISO 27000 (ISO, 2014). Para este objetivo se partirá de algoritmos aceptados
y de implementaciones software y productos hardware suficientemente evaluados (a ser
posible, además, se exigirá que cumplan con ciertos estándares de calidad a través de las
correspondientes certificaciones ISO o similares).

Los sistemas operativos modernos cuentan salvo contadas excepciones, con

procedimientos que por defecto llevan a cabo el cifrado del disco duro de modo
automático y transparente.

En el caso del sistema operativo Windows tenemos el EFS (Encryption File System)
y el sistema BitLocker (Microsoft, 2019).

Ambos sistemas solo están presentes en las versiones profesionales de las distribuciones
del sistema operativo Windows. Si se cuenta con una versión home, habría que buscar
alguna alternativa. Entre las opciones opensource, TrueCrypt ha sido una de las
propuestas más adoptadas en los últimos años.

Sin embargo, esta solución software ha dejado de ser mantenida desde mediados de
2014. En el caso de sistemas Linux tenemos dm-crypt, EncFs, etc. Además del cifrado
de ficheros y discos duros completos, podemos efectuar el cifrado desde el
arranque (Preboot Authentication –PBA-), hacer uso del módulo TPM de los equipos
actuales o emplear discos duros auto-cifrables de acuerdo con el estándar OPAL
definido por el Trusting Computing Group (TCG).

Protección de la integridad de los activos de información

La integridad de los activos de información se satisface si logra garantizar que no son

modificados por terceras partes no autorizadas. En consecuencia, para conseguir
integridad de datos hemos de emplear contramedidas basadas en el cifrado de datos,
autenticación/autorización de usuarios, sistemas de detección de intrusos y
la verificación de funciones de resumen de datos (Álvarez y Pérez, 2004, p. 117)

TEMA 3 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Dado que el cifrado de datos y la autenticación/autorización han sido previamente

reseñados, nos centraremos a continuación en los sistemas de detección de intrusos y las
funciones de resumen de datos.

Los sistemas de detección de intrusos o IDS (Intrusion Detection System) tienen por
objetivo detectar ataques perpetrados (son mecanismos de detección y no de prevención
de ataques) (Álvarez y Pérez, 2004, pp. 342-350).

Los IDS pueden emplazarse directamente en el equipo a proteger (Host IDS o HIDS)
o pueden ubicarse de tal forma que actúen sobre el tráfico de red (Network IDS o
NIDS).

Respecto a su implementación existen dos alternativas:

IDS basados en el conocimiento. En este caso las reglas de clasificación de

los IDS se construyen a partir de bases de datos que contienen ataques previos y
debilidades conocidas, motivo por el cual también se les conoce con IDS basados
en firmas. Este tipo de IDS tienen una baja tasa de falsos positivos, pues las
alarmas están estandarizadas y son fácilmente comprensibles por parte del
personal. Ahora bien, en el caso de que los ataques se lleven a cabo desde el
interior (Insider Attacks) los IDS basados en el conocimiento no son efectivos (ya
que estos atacantes tienen información privilegiada).

IDS basados en comportamiento. Ahora se lleva a cabo un modelado de los

usuarios e identifican las intrusiones como anomalías (por eso también se les
tipifica como IDS basados en anomalías), lo que permite una adaptación más
rápida y la detección de nuevos ataques. A diferencia de los anteriores no
dependen de un sistema operativo concreto y permiten detectar ataques por abuso
de poderes y responsabilidades. No obstante, estos IDS presentan una tasa de
falsos positivos. Además, tienen el problema adicional de que su entrenamiento
requiere que el comportamiento de usuarios sea suficientemente estático.

Las funciones resumen (hash) transforman un mensaje de longitud variable en una

cadena de longitud fija (Álvarez y Pérez, 2004, pp. 117-118). Este tipo de aplicaciones
tienen la virtud de que un cambio de un bit en el mensaje de entrada implica una salida
completamente distinta. Desde el punto de vista de su eficacia, su seguridad obliga que
no sea factible encontrar dos textos de entrada ligados a un hash dado. Dicho de otro

TEMA 3 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

modo, las funciones hash deben ser robustas frente a colisiones. Precisamente por no
satisfacer este requisito, funciones hash como MD5 o SHA-1 han de ser descartadas en
favor de las funciones SHA-2 y SHA-3.

La funciones hash permiten implementar procedimientos de la integridad en el

almacenamiento de datos y en el transporte de datos, pero además en los
sistemas de información hay que preservar la integridad de los sistemas de gestión
de bases de datos.

En el caso de los sistemas de base de datos hay que garantizar que los datos son correctos
y consistentes.

Esto se consigue obligando que se cumpla integridad de entidad, integridad

referencial, integridad transaccional y reglas de negocio (Álvarez y Pérez, 2004,
p. 121).

Protección de la disponibilidad de los activos de información

La disponibilidad de los activos de información exige el despliegue de medidas para hacer

frente a interrupciones, lo cual involucra la creación de sistemas tolerantes a fallos
y de sistemas redundantes (Álvarez y Pérez, 2004, pp. 122-142).

Desde el punto de vista del auditor de seguridad la verificación de estos objetivos de

seguridad implica comprobar la existencia de una estrategia de protección del
suministro eléctrico (uso de protectores de sobretensión, sistemas de alimentación
ininterrumpida –SAI o UPS en inglés-, sistemas de alimentación alternativos), de
protección de las grandes salas de ordenadores y centros de protección de
datos (mediante un adecuado sistema de calefacción, ventilación y aire acondicionado
–en inglés, heat ventilating air condition o HVAC-), de protección de la seguridad
física de los equipos (para disminuir el riesgo de robo o acceso físico ilegítimo), de
protección del hardware y del software.

La redundancia de sistemas hardware es crítica para garantizar la disponibilidad de

un sistema de información. En el caso de los sistemas de almacenamiento esta
redundancia se puede implementar mediante RAID (Redundant Array of Independent
Disks).

TEMA 3 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Los sistemas RAID separan los datos en múltiples unidades y los almacenan en múltiples
discos y se pueden implementar de modo software o hardware (Álvarez y Pérez, 2004,
pp. 127-130).

Sin embargo, hay que ser bastante cauto a la hora de diseñar un sistema RAID. Dicho
sistema ofrece configuraciones distintas y no todas ellas ofrecen el mismo nivel de
respaldo.

Por ejemplo, la configuración RAID proporciona una alta velocidad en la escritura y

lectura de datos pero si se estropea un solo disco se pierde toda la información. En este
sentido si lo que se persigue es redundancia en sacrificio de eficiencia, lo
recomendable es emplear RAID1 frente a RAID0.

Además de los procedimientos arriba subrayados, el auditor de seguridad también habría

de comprobar si la empresa bajo análisis dispone de una arquitectura de servidores (de
archivos, de correo, de servicios web, etc.) adecuada y un sistema de respaldo de los
contenidos digitales (documentos, archivos multimedia, código fuente, etc.).

Respecto a la protección de la disponibilidad de los servidores, se suelen agrupar

en un cluster de manera que siempre exista operativo al menos uno de los servidores
que proporcionan un cierto servicio.

Existen tres posibles configuraciones:

Configuración cold-standby. Existe un servidor réplica del que está

operativo, si bien los datos no están replicados. La copia de datos solo se efectúa
en caso de problema. Es la solución más barata pero requiere intervención
humana incorporando una demora en el tiempo de reacción.

Configuración hot-standby. Hay un servidor réplica desde el punto de vista

funcional y operativo, lo que involucra que dicho servidor también incorpora una
copia de los datos del servidor original. La reacción ante la caída del servidor
original es automática. El problema de este esquema es el uso de recursos a través
del servidor de respaldo cuando no está operativo.

TEMA 3 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Balanceo de carga. En este esquema se tienen varios servidores en

funcionamiento de forma paralela y que distribuyen la carga entre ellos. Si un
servidor se cae, el resto asume su carga de trabajo.

Al respecto de los sistemas de respaldo de datos, hay que comprobar si existen planes de
realización automática de copias de seguridad o backups.

Además, dichos backup pueden ser:

Totales: el backup total es el más caro en términos de necesidad de medios de

almacenamiento para soportarlo, pero es el que permite una restauración más
rápida.
Incrementales: solo se almacenan los archivos que cambiaron desde la última
copia de seguridad completa o incremental, por lo que una restauración es muy
compleja.
Diferenciales: se almacenan los archivos que cambiaron desde la última copia
completa con lo que se aumenta la necesidad de espacio de almacenamiento para
copias para simplificar el proceso de restauración.

La programación automática de backups ha de tener presente que siempre se debe

efectuar una copia completa tras un cierto número de copias incrementales
o diferenciales, así como el número de copias completas que se desean conservar.

Los medios de almacenamiento de copias de seguridad van desde la cinta magnética, los
discos duros, hasta sistemas SAN/NAS. No obstante, en la actualidad cada vez son más
las empresas que hacen uso de la nube como servicio de backup.

En determinados contextos el mero uso de una buena metodología de backups no es

suficiente. Este es el caso de los productos software cuyo ciclo de vida requiere una
continua evaluación de la madurez de tales elementos.

Tal comprobación se sustancia en:

La verificación de temporizadores: una operación debe efectuarse en un cierto

tiempo, si se excede el umbral temporal, la operación se repite desde el inicio o se
aborta.

TEMA 3 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

La gestión de excepciones: para evitar que los errores de ejecución se traduzcan

en una interrupción aquellos han de ser debidamente tratados.
En reinicios incrementales: para poder arrancar un servidor se levantan servicios
de modo paulatino, lo cual minimiza el tiempo total de reinicio y el tiempo en que
el servidor está no operativo.

El correcto tratamiento e identificación de problemas en productos software

desarrollados en una empresa requiere usar sistemas de control de versiones como
Subversion, Git, Bazaar, Mercurial, etc. Este control de versiones es además relevante en
otro contexto, la gestión documental. Los sistemas de gestión documental (en inglés,
Entreprise Content Management –ECM-) como LifeRay, SharePoint o Alfresco puede
ser críticos para garantizar el correcto funcionamiento de una empresa.

3.3. Consideración de los requisitos de privacidad, anonimato y

gestión adecuada de la trazabilidad de usuarios

Los conceptos de privacidad y anonimato constituyen uno de los grandes desafíos de las
actuales TIC. La irrupción de las infraestructuras cloud y el desarrollo de técnicas de
Big Data para el proceso de información masiva presentan todo un conjunto de
posibilidades, pero también toda una serie de amenazas.

Sin duda, el uso de la tecnología cloud (la nube) supone una gran oportunidad de
ahorre de costes tanto para las grandes como para las pequeñas y mediana
empresas (PyMEs).

Ahora bien, hemos de ser conscientes de que el uso de tales facilidades involucra ceder
la custodia de nuestros activos a una tercera parte. Es cierto que si nuestra empresa tiene
suficientes recursos podría desplegar su infraestructura cloud, pero en el caso de las
PyMEs la gran oportunidad aparece cuando se consideran servicios cloud gratuitos o de
bajo coste, como puede ser el caso de Dropbox, Google Drive, SpiderOak, Amazon Web
Services (AWS), etc.

En este punto es necesario destacar que es factible implantar una política de

seguridad que preserve el conjunto CID aunque el medio de
almacenamiento sea la nube.

TEMA 3 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Para ello habremos de asumir que el servidor cloud es una tercera parte no confiable de
nuestro esquema que solo garantiza la disponibilidad del servicio de almacenamiento.

Consecuentemente, cifraremos toda la información antes de subirla a la nube.

Asimismo, llevaremos a cabo una monitorización de los datos almacenados en la nube
para comprobar que se respeta la integridad de los mismos. Para llevar a cabo esta
comprobación bastaría firmar la información con nuestra clave privada (recordar que
firmar un mensaje significa calcular su hash y cifrarlo con nuestra clave privada).

A la hora de verificar la integridad de los datos en la nube, primero los descifraríamos y

luego calcularíamos su hash. Si ese hash coincide con el hash que tenemos almacenado
en la nube, concluiremos que el servidor cloud no ha modificado nuestros datos.

En el actual contexto de los sistemas de información un profesional de la auditoría de la

seguridad de la información debe tener muy clara la distinción entre confidencialidad y
privacidad. De modo sucinto, la confidencialidad implica que solo acceden a los datos
aquellas partes que poseen nivel de acceso, lo que en el ámbito criptográfico equivale a
poseer la clave con la que se protegen los recursos.

La privacidad, por contra, agrega un nivel adicional de exigencia al imponer que no

se acceda a la información a menos que se cuente con el consentimiento
expreso del propietario de la misma.

El dilema servicio-privacidad no afecta solamente a la cloud, sino que también es

inherente a la tecnología Big Data. El fácil acceso a la red hace que cada vez se
intercambien más datos de carácter personal pensando que no va existir problema
alguno.

De igual forma que comentábamos el caso de la nube, existen herramientas y

procedimientos que impedirían el análisis de dato agregado, es decir, es plausible
teóricamente evitar que nuestra información sea procesada y eventualmente compartida
sin nuestro consentimiento.

Sin embargo, esta consideración es de índole teórico y en el ámbito práctico aceptamos

políticas de privacidad que no excluyen usos que no autorizaríamos si la
comprendiéramos en detalle. Es más, en muchos casos la vulneración de la privacidad
no se debe a que el proveedor de servicio no respete la política de seguridad, sino más

TEMA 3 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

bien a que no se han establecido los medios oportunos para llevarla a término. Es
precisamente esta circunstancia la que tenemos que descartar cuando llevamos a cabo
una evaluación de un SGSI.

A este respecto y siempre que nos encontremos en el caso de servicios web, cabe tener
bien presente la iniciativa P3P (Platform for Privacy Preferences) de la W3C (2018),
cuyo objetivo es actuar de puente entre las especificaciones de privacidad de los
servidores y los requerimientos del usuario (es una plataforma para implementar
prácticas de privacidad en sitios web).

Otra difícil conciliación viene deparada por la combinación de los objetivos de seguridad
y los derechos de privacidad (Grupo de investigación sobre protección de datos y acceso
a la información, 2012).

Las técnicas de auditoría informática, el análisis forense y los test de penetración pueden
llevar asociadas claras vulneraciones de la privacidad de los usuarios de los sistemas que
estamos evaluando.

Por ello, no solo hemos de tener en cuenta todo lo concerniente a la consecución de los
objetivos CID y el respecto a las políticas de seguridad aceptadas por los
usuarios/clientes de nuestros sistemas de información, sino que además hemos de
garantizar que los datos almacenados para evaluar la seguridad y los datos analizados
para detectar no implican filtración de información personal de usuarios.

En consecuencia, si la política de privacidad y los mecanismos de verificación impuestos

por organismos reguladores o por el usuario/cliente final lo demanda, tendremos que
cerciorarnos de que el despliegue de nuestra política de seguridad incluye técnicas
criptográficas y de minería de datos que preservan la privacidad, así como técnicas de
anonimización de datos.

3.4. Referencias bibliográficas

Álvarez, G. y Pérez, P. P. (2004). Seguridad informática para empresas y particulares.

Madrid: Mc Graw Hill.

TEMA 3 – Ideas clave 15 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Evidian. (2015). Los 7 métodos de autenticación más utilizados. [S. l.]: Evidian.
Recuperado de https://www.evidian.com/pdf/wp-strongauth-es.pdf

Grupo de investigación sobre protección de datos y acceso a la información. (2012).

Seguridad, transparencia y protección de datos: el futuro de un necesario e incierto
equilibrio. Privacidad y acceso. Recuperado de
http://privacidadyacceso.com/investigacion/seguridad-transparencia-y-
protecci%C3%B3n-datos-futuro-necesario-e-incierto-equilibrio

ISO. (2014). Seguridad de la información: ISO 27000. Recuperado de

http://www.iso27000.es/sgsi.html#seccion4

López, A. (27 de noviembre de 2014). Mecanismos básicos de control de acceso [Blog

post]. Recuperado de https://www.incibe-cert.es/blog/control-acceso

Microsoft (28 de febrero de 2019). Descripción general del cifrado de dispositivos de

BitLocker en Windows 10 [blog post]. Recuperado de https://docs.microsoft.com/es-
es/windows/security/information-protection/bitlocker/bitlocker-device-encryption-
overview-windows-10

W3C. (2018). The platform for privacy preferences (P3P) project. Recuperado de
http://www.w3.org/P3P/

TEMA 3 – Ideas clave 16 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Lo + recomendado

No dejes de leer…

Uso de técnicas criptográficas: políticas de seguridad para la pyme

INCIBE. (S. f.). Uso de técnicas criptográficas: políticas de seguridad para la pyme.
León: INCIBE.

En el siguiente enlace puedes encontrar un documento el Instituto Nacional de

Ciberseguridad a considerar por parte de las pymes para estableces sus políticas de
seguridad empleando técnicas criptográficas.

Accede al informe desde el aula virtual o a través de la siguiente dirección web:

https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/uso-
_tecnicas-criptograficas.pdf

Prácticas seguras de criptografía en aplicaciones web

Sánchez, H. (2017). Prácticas seguras de criptografía en aplicaciones web [diapositivas

PowerPoint]. [S. l.]: OWASP.

En el siguiente enlace puedes encontrar un documento de OWASP (Open web

Application Security Project) donde nos recomienda la realización de una serie de
prácticas criptográficas para el desarrollo de aplicaciones web.

Accede al documento desde el aula virtual o a través de la siguiente dirección web:

https://owasp.org/index.php/Top_10_2007-
Almacenamiento_Criptogr%C3%A1fico_Inseguro

TEMA 3 – Lo + recomendado 17 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Auditoría básica de SI: respaldo y recuperación

Cooke, I. (2018). Auditoría básica de SI: respaldo y recuperación. ISACA Journal, 1 [en
línea].

El desarrollo de una política de backups es fundamental de cara a preservar la integridad

y disponibilidad de un SGSI. En este enlace, ISACA nos muestra una serie de
recomendaciones que debe seguir un auditor para realizar los backup que le permiten
recuperar la información de forma segura.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

https://www.isaca.org/Journal/archives/2018/Volume-1/Pages/backup-and-
recovery.aspx

Practical approaches to big data privacy over time

Altman, M., Wood, A., O’Brien, D. y Gasser, U. (2018). Practical approaches to big data
privacy over time. International Data Privacy Law, 8(1), 29-51.

A medida que gobiernos y empresas están aumentando la recolección y análisis de las

informaciones acerca de los individuos, es preciso establecer unas prácticas que
garanticen el buen uso que la tecnología Big data hace de la información disponible. En
este artículo académico publicado en la revista International Data Privacy Law en
febrero de 2018 se muestran algunas de las aplicaciones prácticas a seguir.

Accede a la página desde el aula virtual o a través de la siguiente dirección web:

https://doi.org/10.1093/idpl/ipx027

TEMA 3 – Lo + recomendado 18 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

No dejes de ver…

The future of data protection: Adapting to the privacy imperative

Interesante debate de 2019 que ofrece la empresa RSA con la participación del CEO de
IAPP (International Association of Privacy Professionals) y los encargados de la
privacidad en las empresas Linkedin y Uber sobre la imperativa necesidad de proteger
los datos personales.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:

https://youtu.be/-E2eFG9ThbI

Privacy, identity and autonomy in the age of big data and AI

La editorial O´Reilly nos proporciona un interesante vídeo donde, brevemente, la

profesora Sandra Wachter de la Universidad de Oxford nos adentra en diversos aspectos
de seguridad en las áreas de big data e inteligencia artificial.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:

https://youtu.be/JvSEw1HuZvc

TEMA 3 – Lo + recomendado 19 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Políticas de seguridad para la pyme

El Instituto Nacional de Ciberseguridad ofrece una serie de documentos denominados

«políticas de seguridad». Estas políticas tratan los aspectos y elementos esenciales donde
debemos aplicar seguridad y que deben estar bajo control. Cada política contiene una
lista de chequeo de las acciones que debe tomar el empresario, su equipo técnico y sus
empleados.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:

https://youtu.be/oado7fL4fz0

El DNI electrónico: token identificativo por antonomasia en España

En el siguiente vídeo se explica el uso y las ventajas de emplear el DNI electrónico en

España dentro del contexto de Internet, el comercio electrónico y la administración
electrónica. El DNI electrónico, por ser un documento que debemos poseer de modo
obligatorio, proporciona un mecanismo de autenticación basado en algo que poseemos.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:

https://youtu.be/8XUG4-faBq0

TEMA 3 – Lo + recomendado 20 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

+ Información

Enlaces relacionados

Cloud security

Página web de referencia para la seguridad en entornos cloud. Dada la importancia del
almacenamiento cloud, un auditor de seguridad debe manejar el conjunto de ventajas y
desafíos que presenta esta tecnología. Esta página sirve de base para comprender los
modelos de confianza, las amenazas y las salvaguardas patentes en el dominio cloud.

Accede a la página web desde el aula virtual o a través de la siguiente dirección:

https://cloudsecurityalliance.org/

Cifrado de datos en los medios de almacenamiento

En esta web puedes encontrar un muy buen resumen sobre las principales soluciones
para cifrar discos duros.

Accede a la página web desde el aula virtual o a través de la siguiente dirección web:
http://www.criptored.upm.es/crypt4you/temas/privacidad-
proteccion/leccion2/leccion2.html

TEMA 3 – + Información 21 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Bibliografía

Pittalia, P. P. (2019). A comparative study of hash algorithms in Cryptography.

International Journal of Computer Science and Mobile Computing, 8(6), 147-152.
Recuperado de https://ijcsmc.com/docs/papers/June2019/V8I6201928.pdf

TEMA 3 – + Información 22 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

Test

1. En criptografía de clave pública:

A. Solo la clave privada puede cifrar y solo la clave pública puede descifrar.
B. La clave pública es utilizada para cifrar y descifrar.
C. Si la clave pública cifra, solo la clave privada puede descifrar.

2. ¿Cuál de los siguientes métodos de backup es el más adecuado para un

almacenamiento externo, fuera el emplazamiento habitual de nuestro negocio?
A. Backup total.
B. Backup diferencial.
C. Backup incremental.

3. ¿Qué método de backup, de los listados a continuación, requiere utilizar el mayor

número de cintas por parte del operador para llevar a cabo una restauración completa
del sistema, si cada noche se utiliza una cinta distinta con rotación cada cinco días?
A. Backup total.
B. Backup diferencial.
C. Backup incremental.

4. En el intercambio de información entre dos usuarios, cifrar el hash de un mensaje con

una clave simétrica equivale a:
A. Crear una figura digital.
B. Proteger la confidencialidad del mensaje.
C. Crear un código de autenticación de mensaje dependiente de clave.

5. La diferencia entre un control de acceso basado en reglas y un control de acceso basado

en roles es:
A. El control basado en reglas se aplica a grupos, mientras que el control basado en
roles se aplica a cada usuario de forma individual.
B. El control de acceso basado en reglas es necesario para pequeñas empresas
mientras que el control basado en roles es preciso para grandes empresas.
C. Los controles basados en reglas asignan parámetros de acceso a las cuentas de
usuario, mientras que los controles basados en roles se basan en objetivos de
control de acceso en función de la labor desempeñada por un cierto cargo o usuario.

TEMA 3 – Test 23 © Universidad Internacional de La Rioja (UNIR)

 Calidad y Auditoría de Sistemas de Información

6. ¿Cuál de los siguientes procedimientos no es un mecanismo de control de acceso?

A. Verificación de la identidad.
B. Creación, gestión y verificación de roles.
C. Monitorización de entradas a través del teclado.

7. Un control de acceso que gestiona los permisos de acceso de un grupo de usuarios se

denomina:
A. Control basado en roles.
B. Control discrecional.
C. Control obligatorio.

8. Si un usuario intenta acceder a una información careciendo de permisos, ¿cuál es el

mecanismo de seguridad que está violando?
A. Integridad.
B. Confidencialidad.
C. Disponibilidad.

9. La plataforma P3P fue desarrollado por la W3C para:

A. Implementar una infraestructura de clave pública para transacciones.
B. Evaluar las prácticas de seguridad de los usuarios.
C. Implementar prácticas de privacidad en sitios web.

10. Los sistemas de detección de intrusos:

A. Permiten corregir errores tras detectar intrusiones en el sistema.
B. Protegen la integridad de los sistemas de información.
C. Son una contramedida frente a ataques a la disponibilidad de servicios.

TEMA 3 – Test 24 © Universidad Internacional de La Rioja (UNIR)