Examen

Seguridad informática: Proceso de prevenir y detectar el uso no autorizado de un

sistema informático.

Objetivos de la seguridad informática: Garantización

Confidencialidad El acceso a la información solamente autorizado

Disponibilidad Sistema y datos accesible para los usuarios

Integridad Información no modificada sin autorización

Fiabilidad Garantiza que el rendimiento es òptimo, no perder el nivel de

servicio de manera transparente para el usuario

Factores de riesgos y amenazas:

Impredecibles Ambientales: lluvias, inundaciones, terremotos…

Tecnológicos: fallas de hardware, ataque por virus informático, fallo

eléctrico.

Predecibles Humanos: robo, fraude, hackers, modificación…

Tipos de seguridad informática: según la naturaleza del riesgo

Seguridad Física protección ante amenazas físicas: cables rotos, incendios, control
de acceso de personas…

Seguridad Lógica protección ante amenazas lógicas: mediante el enmascaramiento

de la misma usando criptografía

Amenazas de seguridad: La posibilidad de que ocurra cualquier tipo de evento o

acción que pueda producir daños sobre los elementos de un sistema informático.

Distintos tipos de daños

 Interrupción Se daña o deja de funcionar un punto del sistema. Queda no
disponible un recursos del sistema.

Detención: Inmediata
Ejemplos: Destrucción de hardware, borrado de programas o datos…

Interceptación Acceso a la información por personas no autorizadas.

Detención: Dificil, A Veces no dejan rastro

Ejemplos: Suplantación de identidad, copias ilícitas de programas…

Modificación Acceso no autorizado que cambia el entorno a su beneficio.

Detención: Difícil según las circunstancias

Ejemplos: Modificación o borrado de base de datos, modificación de elementos hardware…

Generación Creación de nuevos objetos dentro del sistema.

Detención: Difícil
Ejemplos: Añadir registros en base de datos, Añadir nuevos usuarios y contraseñas…

Mecanismos de seguridad:
Utilizados para fortalecer la confidencialidad, integridad y disponibilidad de un sistema
informático.

Tipos según cuando se usan:

Seguridad Activa Todos los mecanismos de seguridad que evitan que los sistemas
informáticos sufran algún daño.

Seguridad Pasiva Una vez que hemos sido afectados por una amenaza, todos los
mecanismos que permiten minimizar los efectos o desastres.

Otra clasificación que se puede hacer:

Preventivos Previenen daños futuros.

Detectivos Detectan, envían el aviso y registran la incidencia antes de que

pase.

Correctivos Corrigen las consecuencias de un daño ya ocurrido

Plan de Contingencias de un sistema informático:

La planificación de contingencias significa preparar a una organización para que esté lista
para responder de manera efectiva en caso de una emergencia.

Identificación de -Análisis y reducción de los riesgos.

riesgos -Identificación de amenazas y vulnerabilidades.
—-------------------------- -Probabilidad y consecuencias de riesgos.
Evaluación de -Determinar niveles aceptables de riesgo y alternativas.
riesgos -Evaluar, valorar y documentar criticidad de cada función de
acuerdo con el impacto.

Asignación de -Determinar las aplicaciones fundamentales.

prioridades a las -No perder tiempo en restaurar sistemas prescindibles.
aplicaciones

Establecimiento de -Estimaciones realistas de periodo en el que los sistemas sean

los requerimientos utilizables.
de recuperación -Definir elementos necesarios para reactivar los sistemas.
-Definir los escenarios a controlar.

Elaboración de la Desarrollar toda la información del Plan de Contingencia

documentación -Listas de notificación, números de teléfono, mapas y direcciones.
-Prioridades, responsabilidades, relaciones y procedimientos.
-Información sobre adquisiciones y compras.
-Diagramas de las instalaciones.
-Sistemas, configuraciones y copias de seguridad.

Verificación e -Comprobar los apartados que se pueden comprobar, dejando su

implementación del funcionamiento activo confirmado.
plan
—--------------------------
Distribución y -Distribución del Plan a las personas que necesitan tenerlo
mantenimiento del -Mantenimiento del Plan ante posibles variaciones.
plan

Auditoría de Seguridad Informática

Evaluación del nivel de madurez en seguridad de una organización, donde se analizan las
políticas y procedimientos de seguridad definidos por la misma y se revisa su grado de
cumplimiento.

Objetivos de una auditoría de ciberseguridad:

-Detectar debilidades y vulnerabilidades de seguridad

-Evitar el robo de información

Tipos de auditorías de seguridad informática:

Según quién las realice

Internas Realizadas por personal propio de la organización con o sin apoyo

de personal externo.

Externas Realizadas por personal externo e independiente a la organización.

Según la metodología empleada

De cumplimiento Verifican el cumplimiento de un determinado estándar de seguridad

o de las propias políticas y procedimientos internos de seguridad

Técnicas Auditorías o revisiones de seguridad técnica cuyo alcance está

acotado a un sistema o sistemas informáticos objeto de la revisión.

Según su objetivo

Forense Recopila información para determinar las causas, enlace y

evidencias del ataque que se ha sufrido.

Aplicaciones Web Identificar potenciales vulnerabilidades en este tipo de aplicaciones

que podrían ser explotadas por atacantes.

Hacking ético o Se ponen a prueba las medidas de seguridad técnicas de una

test de intrusión organización de la misma manera que lo haría un potencial atacante
para identificar debilidades o vulnerabilidades

Control de acceso Se revisa el completo funcionamiento de las medidas de seguridad

físico físicas.

Red Revisan todos los dispositivos conectados a la red y se verifica la

seguridad de los mismos