Documentos de Académico
Documentos de Profesional
Documentos de Cultura
A CREA
AL
Anagrama «LUCHA CONTRA LA PIRATERÍA», propiedad de Unión Internacional de Escritores.
TI
NT V
Será perseguida de acuerdo con la legislación vigente la reproducción total o parcial de esta obra
por cualquier medio, existente o de próxima invención, incluido el tratamiento informático,
E
ID
AD
FO
métodos electrónicos, mecánicos o por registro, sin el permiso previo y por escrito de los editores
y titulares del ©. No está permitida cualquier otra forma de cesión de uso del ejemplar.
RESP
TOR
A
fotocopiar, escanear o hacer copias digitales de algún fragmento de esta obra.
EL D
E © Contenidos Digitales de Formación, S.A.
AU
ET
Resumen
Introducción y objetivos
Desde que se consolidó Internet como un medio de interconexión digital a
nivel mundial, los incidentes de seguridad relacionados con los sistemas
informáticos se han multiplicado de manera alarmante. Esto junto a la
elevada e imparable dependencia de los sistemas de información, ha
provocado una creciente necesidad de implantar mecanismos que reduzcan
considerablemente los riesgos asociados a los incidentes y riesgos en el
entorno de la seguridad informática.
Al terminar el presente curso se habrán conseguido los siguientes objetivos:
- Valorar la necesidad de la gestión de la seguridad en las
organizaciones.
- Conocer las principales amenazas a los sistemas de información.
- Identificar las principales herramientas de seguridad y su aplicación
en cada caso.
• Confidencialidad
Se define confidencialidad como la propiedad de prevenir la divulgación o
acceso a información de personas no autorizadas, es decir, que solo
accedan personas que tengan autorización o permiso.
Debemos entender que la confidencialidad es parte principal de los activos
de una empresa y como tal debe ser protegida con medios técnicos y
legales de accesos no autorizados.
Para garantizar la confidencialidad también se deben utilizar mecanismos de
cifrado y de securización de la comunicación. Los protocolos de cifrado
garantizan dicha confidencialidad durante el tiempo necesario para descifrar
el mensaje.
El establecimiento de pactos de confidencialidad con trabajadores y terceras
empresas permitirá proteger la información corporativa confidencial. El
incumplimiento de estos pactos puede suponer que se emprendan acciones
legales y reclamaciones e indemnizaciones por daños y perjuicios.
Algunos medios de protección de la confidencialidad pueden ser:
✓ Limitar el acceso a la información confidencial, es decir, solo personal
que por su cargo o función deba tener acceso a esos documentos. No
hacerla extensiva a toda la organización y disponer de la trazabilidad
de acceso oportuna en caso de producirse algún problema.
✓ Establecer contraseñas o permisos de accesos.
✓ Realizar copias de seguridad que eviten la pérdida de información.
Cuando se firma un pacto o acuerdo de confidencialidad debemos establecer
unos puntos de obligado cumplimiento entre las partes, como, por ejemplo:
− Especificar claramente qué se entiende por información confidencial,
pudiendo establecer el deber de guardar secreto respecto a una
determinada información.
− Establecer claramente los recursos, medios o información que se
ponen a disposición de las partes para salvaguardar la
confidencialidad.
− Establecer el deber de actuar fielmente en cuanto a la conservación,
almacenamiento, transporte, etc., objeto del acuerdo.
− Establecer la obligación de devolver toda la información confidencial a
la que se ha tenido acceso durante la relación laboral. Esta obligación
de secreto suele tener una vigencia establecida en el acuerdo.
− También se ha de informar de las consecuencias que puede derivarse
por el incumplimiento del acuerdo de confidencialidad. El Código
Penal, en su artículo 197, establece penas de prisión por descubrir
secretos o vulnerar la intimidad.
A continuación, se exponen dos ejemplos sobre tratamiento de
confidencialidad. En uno veremos aspectos referentes a la autorización y en
el otro al cifrado.
Ejemplo – Autorización de acceso a recursos
En la red de una organización podemos compartir documentos, establecer el
nombre de los usuarios o grupos de usuarios y el tipo de permiso que se les
puede dar (lectura, lectura y escritura, …) a dichos documentos.
Por ejemplo, en una red local basada en equipos con sistema operativo
Windows, pulsaremos botón derecho sobre una carpeta que queramos
compartir, y a continuación en Share With o Compartir con y Specific People
o Especificar Usuarios. Otra opción es hacerlo desde la opción de Properties
(Propiedades) de la propia carpeta.
Aparecerá una ventana, donde podemos añadir usuarios y darles los
permisos que deseemos.
• Integridad
Se define integridad como la propiedad que busca mantener los datos libres
de modificaciones no autorizadas, asegurando que, por ejemplo, un
documento enviado no ha sido modificado en el proceso de envío.
Mediante el cumplimiento de la integridad se pretende que la información
permanezca inalterada a menos que sea modificada por una persona
autorizada y dicha modificación sea registrada, asegurando así su
confiabilidad.
La violación de la integridad se lleva a cabo cuando se modifican o borran
datos que son parte de la información, una vez ésta ha salido de su origen.
Es decir, la información recibida no coincide con la información enviada en
su inicio.
Para supervisar y cumplir la integridad de la información se suele utilizar la
firma digital, que no es otra cosa que una secuencia de caracteres que se
adjunta al final del cuerpo del mensaje. Una firma digital permite identificar
inequívocamente a la persona que emite el mensaje, teniendo la seguridad
de que el mensaje se encuentra exactamente igual que cuando fue emitido,
proporcionando tanto identidad como integridad.
La firma digital aumenta la seguridad de las transacciones y nos aporta,
entre otras, dos importantes ventajas:
− Integridad del mensaje: demuestra la validez de la información y
nos asegura que está libre de información falsa o modificada sin
autorización.
− Requerimientos legales: supone satisfacer algunos requerimientos
legales y se encarga de cualquier aspecto legal en la transacción de
documentos como, por ejemplo, contratos, nóminas, facturas, etc.
Por todo lo anterior, la firma digital es uno de los pilares fundamentales de
la seguridad de la información.
• Disponibilidad
Se define disponibilidad como la característica, condición o cualidad de que
la información esté a disposición de quienes tengan que acceder a ella, es
decir, el acceso a la información y a los sistemas por personas autorizadas
en el momento que lo requieran.
Los sistemas informáticos utilizados para almacenar y procesar la
información, la seguridad y los canales de comunicación deben estar
funcionando correctamente cuando se realicen solicitudes de acceso.
La alta disponibilidad es un asunto de diseño y su implementación asegura
un cierto grado de continuidad de los sistemas en caso de caída de algún
servicio. Para asegurar un entorno de alta disponibilidad se deben utilizar
servicios de comunicaciones, de seguridad y equipamiento que permitan
disponer de la información continuamente replicada.
En este ejemplo podemos ver que, en lugar de tener un servidor de correo
electrónico, dispondríamos de dos servidores con la información replicada.
De este modo en caso de mal funcionamiento del servidor principal,
automáticamente entraría en funcionamiento el segundo servidor (también
conocido como servidor de backup o de contingencia). Con esta arquitectura
de servidores, estaríamos estableciendo un modelo de alta disponibilidad de
servidores de correo.
2. Ciberseguridad
2.1. Concepto de ciberseguridad
Según ISACA (Information Systems Audit and Control Association),
ciberseguridad se define como “la protección de activos de información, a
través del tratamiento de amenazas que ponen en riesgo la información que
es procesada, almacenada y transportada por los sistemas de información
que se encuentran interconectados”.
La norma ISO 27001 define activo de información como “los
conocimientos o datos que tienen valor para una organización”, mientras
que los sistemas de información comprenden a las aplicaciones, servicios,
activos de tecnologías de información u otros componentes que permiten el
manejo de la misma.
Por ejemplo, cuando se busca proteger el hardware, redes, software,
infraestructura tecnológica o servicios, nos encontramos en el ámbito de la
seguridad informática o ciberseguridad. Cuando se incluyen actividades de
seguridad relacionadas con la información que manejan las personas,
seguridad física, cumplimiento o concienciación, nos referimos a seguridad
de la información.
Para acceder a nuestro router, accedemos vía http a 192.168.1.1 y nos pide
el usuario y contraseña que suele ser:
Usuario: admin
Contraseña: admin
5. Herramientas de seguridad
Toda implantación de seguridad recogida en las políticas y procedimientos
contemplará unas medidas de protección siendo importante destacar:
− Protección de instalaciones e infraestructuras.
− Gestión del personal.
− Protección de los equipos.
− Protección de las comunicaciones.
− Protección de los aplicativos.
− Protección de la información.
Protección de la información
Se deben desarrollar procedimientos para los siguientes aspectos:
✓ Cómo se controla el acceso: mecanismos de control de autorización.
✓ Control de copias en medios.
✓ El marcaje de documentos.
✓ Soportes de información, inventario, el marcaje de documentos,
borrado y control de la destrucción.
✓ Control de la impresión: dónde podemos imprimir, quién puede
imprimir…
✓ Control del trasporte físico: mensajeros, autorizaciones de salida y
recepción de los documentos.
✓ Control de las comunicaciones, la autenticación y el cifrado.
A la hora de la implantación debemos asegurarnos de que el documento
de seguridad contenga las medidas establecidas en el Reglamento
General de Protección de Datos (RGPD), que es el reglamento europeo
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de sus datos personales y a la libre circulación de estos
datos. También, por tanto, debemos atender a lo establecido en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales
y garantía de los derechos digitales, que adapta dicho Reglamento al
ordenamiento jurídico español.
El uso del inicio de sesión seguro ofrece otro nivel adicional de seguridad
para el equipo. Cuando se habilita este tipo de inicio de sesión, ningún otro
programa, ya sea malicioso o no, puede interceptar el nombre de usuario y
contraseña a la hora de su escritura.
• Intrínsecos:
dependencia de
la naturaleza
del usuario.
• Extrínsecos: dependencia de propiedades externas.
Sistemas biométricos
Otro sistema de autenticación de elevada sofisticación es el basado en
sistemas de identificación biométrica. Actualmente existen diversos tipos de
sistemas biométricos, dependiendo de las características físicas o de
comportamiento empleadas para determinar la identidad de la persona.
Algunos de los más relevantes son:
▪ Reconocimiento de voz: las ondas sonoras de la voz del usuario
permiten autenticarle en el sistema.
▪ Firmas manuscritas: la identificación se realiza mediante el
reconocimiento de firma del usuario. Todo usuario deberá de tener
una firma propia la cual tendrá diversas características dinámicas
para garantizar la autenticación, tales como el tiempo empleado en
realizar la firma, el nº de veces que ser separa el bolígrafo del papel,
el ángulo, presión…
▪ Huella dactilar: estos sistemas suelen ser más baratos respecto al
resto existente en el mercado, siendo uno de los sistemas
biométricos más utilizados.
▪ Reconocimiento facial: esta técnica recrea una imagen facial a
partir de atributos, como la colocación de la nariz, distancia entre
ojos, cejas, tamaño de boca. Este sistema no es utilizado de manera
habitual, no obstante, se están realizando importantes avances en su
desarrollo y está siendo considerado como posible medio de
autenticación por diversos fabricantes, por ejemplo, de dispositivos
de telefonía móvil.
▪ Análisis del fondo del ojo: la distribución de los vasos sanguíneos
de la retina humana es otro elemento característico de cada
individuo, circunstancia que también ha motivado su utilización como
elemento base de otra familia de sistemas biométricos. Se trata de
un sistema caro, aunque de los más efectivos por su alta fiabilidad.
Sin embargo, muchos usuarios lo han rechazado por considerarlo
demasiado intrusivo.
▪ Análisis del iris: el iris humano está compuesto por una estructura
compleja siendo única por persona e inalterable de por vida. Este
sistema ya está siendo utilizado por algunas empresas para el control
de acceso, aunque aún permanece en un estado de uso potencial
generalizado.
Menú Ejecutar
Conectar impresora
5.3.3. Antimalware
El término malware proviene de malicious software, código maligno,
software malicioso o software malintencionado. Es un tipo de software que
tiene como objetivo infiltrarse o dañar el sistema operativo sin el
consentimiento de su propietario. El término malware es muy utilizado por
profesionales de la informática para referirse a una variedad de software
hostil, intrusivo o molesto. El término virus informático suele aplicarse de
forma incorrecta para referirse a todos los tipos de malware, incluidos los
virus verdaderos.
Los tipos de malware más empleados los podemos clasificar en las
siguientes categorías: Adware, Spyware o Hijacking.
❖ Un programa de clase Adware es cualquier programa que
automáticamente muestra publicidad web al usuario durante su
instalación o durante su uso para generar lucro a sus autores. ‘Ad’ en
la palabra ‘adware’ se refiere a ‘advertisement’ (anuncios).
❖ Algunas veces, el malware es considerado como spyware (espía),
cuando fuerza al usuario a usar un determinado buscador web ya que
podría ser utilizado para monitorear la actividad del usuario. Esto ha
provocado críticas de los expertos de seguridad y los defensores de la
privacidad.
❖ Hijacking significa “secuestro” en inglés y en el ámbito informático
hace referencia a toda técnica ilegal que lleve consigo adueñarse o
robar algo (generalmente información) por parte de un atacante.
Como puede ser el secuestro de una conexión TCP/IP, por ejemplo,
durante una sesión Telnet permitiendo a un atacante inyectar
comandos o realizar un ataque de denegación de servicio durante
dicha sesión (IP hijakers). También puede producirse un secuestro de
la página de inicio del navegador cambiando la página de inicio de
nuestro navegador por otra a interés del secuestrador (Home Page
Browser hijacking).