Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ALTA DISPONIBILIDAD
CAPÍTULO 1
CFGS 2º ASIR
1
1. INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA
Hoy en día un sistema informático totalmente seguro es imposible, la conectividad global, extiende el campo
de posibles amenazas.
La seguridad informática: asegurar que los recursos del sistema de información sean utilizados de la manera
que se decidió y que el acceso y modificación a la información, solo sea posible a las personas que se
encuentren acreditadas y dentro de los límites de su autorización.
• Objetivos de la seguridad informática:
o Detectar los posibles problemas y amenazas.
o Garantizar la adecuada utilización de los recursos y de las aplicaciones de los sistemas.
o Limitar las pérdidas y conseguir una adecuada recuperación en caso de un incidente.
o Cumplir con el marco legal y con los requisitos impuestos a nivel organizativo.
• Objetivos principales de la seguridad (CID en español o CIA en inglés)
o Confidencialidad (Confidenciality): Previene qué individuos, entidades o procesos no
autorizados puedan interpretar la información a la que no tienen derecho.
o Integridad (Integrity): Previene contra posibles alteraciones no deseadas en la información,
de modo, que se garantice que el mensaje enviado en origen es exactamente el mensaje que
se recibe en destino.
o Disponibilidad (Availability): Mantine la capacidad de exponer los activos informáticos
utilizables en todo momento a los agentes autorizados que los consumen.
• Objetivos secundarios:
o Autenticidad y control de acceso. Comprueba la identidad del agente que accede a un
recurso y la facilidad o deniega el acceso en función de esta identidad.
o Fiabilidad. Mantiene la consistencia entre el comportamiento del sistema y los resultados
obtenidos del mismo, es decir, evalúa si el sistema se comporta como se espera de él.
o No repudio o irrenunciabilidad. Garantiza la autoría de una información o un proceso.
o Auditabilidad. Registra el comportamiento del sistema para su evaluación posterior.
2
ACTIVIDADES
1. Buscar ejemplos de Confidencialidad, integridad y Disponibilidad.
2. Describe un ejemplo de proceso de comunicación en los que se pongan de manifiesto la confidencialidad,
la integridad, la disponibilidad, la autenticidad, la fiabilidad, el no repudio y la auditabilidad.
Gestión de riesgo
Frente a un riesgo, no solamente informático sino de cualquier otra naturaleza, caben únicamente cuatro
posibilidades:
• Evitar el riesgo. El riesgo se evita cuando la organización rechaza aceptarlo, es decir no se acepta
ningún tipo de exposición, lo que exige el compromiso de no realizar nunca la acción que origina el
riesgo.
• Reducir el riesgo. Cuando el riesgo no puede evitarse se puede reducir hasta que llegue a unos
mínimos asumibles.
• Gestión de riesgo
• Reducir, asumir o aceptar el riesgo. En este caso se acepta el riesgo y se asumen sus consecuencias
en caso de que ocurra.
• Transferir o compartir el riesgo. Se trata de buscar un respaldo y compartir el riesgo entro otros
controle o entidades.
Tipos de amenazas
Conocer las amenazar es de vital importancia para poder combatirlas.
3
Las amenazas las podemos clasificar:
• El hardware. Por ejemplo, una persona podría desconectar la alimentación de un servidor. Entre los
equipos afectado por vulnerabilidades de hardware tendremos router, conmutadores y módems;
cámaras web y servidores de vídeo, etc.
• El software. Por ejemplo, un virus podría dañar el sector de arranque del disco de sistema. Entre los
elementos de software más vulnerable están los sistemas operativos, servidores y bases de datos; los
navegadores las aplicaciones ofimáticas y las utilidades.
• Los datos.
o Los datos que residen en los medios de almacenamiento. Un ataque podría alterar los datos de la
base de datos de facturación.
o Los datos en cuanto información que se transporta (comunicaciones).
o Los documentos con capacidades activas o de interacción con las aplicaciones. Por ejemplo,
documentos ofimáticos con macros o programación de tipo script.
Para controlar las vulnerabilidades, el responsable de seguridad cuenta con un conjunto de herramientas,
procedimientos y tecnologías que le ayudan en su tarea:
4
Actividades
Localiza los abundantes errores conceptuales que encuentres en la siguiente afirmación:
“Un sistema operativo que no está actualizado tiene una amenaza por un fallo de seguridad que un atacante
aprovecha ejecutando una vulnerabilidad de alto riesgo. El administrador de seguridad atenúa la brecha
mejorando el riesgo provocado por las contramedidas.”
Confecciona un mapa conceptual de los tipos de amenazas y vulnerabilidades a que están expuesto los
sistemas informáticos.
5
Básicamente un plan de respuesta a incidentes tiene cuatro fases:
1. Acción inmediata para detener o minimizar el incidente de seguridad.
2. Investigación del incidente.
3. Restauración de los recursos afectados, dañados o comprometidos debido al incidente.
4. Reporte del incidente y de los daños a los responsables del nivel superior
ACTIVIDADES
1. Buscar los estándares relacionados con la seguridad
2. Buscar las especificaciones de la norma ISO/IEC 27000
6
2.1. Seguridad física y ambienta
La seguridad física consiste en la aplicación de contramedidas tales como barreras físicas o procedimientos
de control que prevengan amenazas contra los recursos que se pretenden proteger, disminuyendo los riesgos.
Los peligros físicos pueden ser intencionados o fortuitos (no intencionados). Entre los fortuitos se encuentran
los incendios, terremotos, inundaciones, obras, meteoros climáticos, deficiencias en las instalaciones
eléctricas o en el aire acondicionado, deterioro de los medios de almacenamiento o peligros ergométricos
que son el resultado de la interacción de cuerpo humano con los dispositivos del hardware.
Entre los peligros intencionales por acciones hostiles se pueden citar los siguientes: robos, fraudes y
sabotajes.
El control físico de acceso
Se trata de estudiar cómo será el acceso del personal a los equipos.
Algunas de las técnicas de acceso son las siguientes:
Investigación
En la dirección http://www.seguritecnia.es/directorio-de-empresas/control-de-accesos/disbio-s.l disponen
de documentación sobre productos de control de acceso biométrico.
En http://www.accesor.com/ se puede encontrar de un amplio catálogo de productos de seguridad sobre
control de accesos y CCTV.
7
• Tener la capacidad de restaurar los sistemas de información en poco tiempo después de un incidente
a partir de backups, si fuera necesario.
• Implementar sistemas redundantes de reparto de carga y alta disponibilidad.
• Garantizar la continuidad del negocio.
El control lógico del acceso
Estos controles se pueden aplicar en el sistema operativo, en aplicaciones, en las bases de datos o en cualquier
elemento de software sobre los que se puedan definir alguno de los objetivos descritos anteriormente.
El NIST (National Institute for Standards and Technology, www.nist.gov) ha resumido los siguientes
estándares de seguridad que se refieren a los requisitos mínimos de seguridad de cualquier sistema:
• Identificación y Autenticación. Todo usuario debe ser identificado antes de concederle acceso
mediante un proceso de autenticación suficientemente seguro.
• Roles. Define el perfil de necesidades y obligaciones del usuario, por ejemplo, contable, programador,
gerencia, etc.
• Transacciones. Para realizar ciertas operaciones delicadas es necesario disparar un procedimiento de
seguridad específico, por ejemplo, disponer de una contraseña o un token de seguridad
• Limitaciones a los servicios. Son los procesos de autorización que se siguen de una autenticación de
usuario, que le autorizan a consumir ciertos servicios
• Modalidad de acceso. El acceso al dato será de lectura, ejecución, borrado, etc.
• Ubicación y horario. Establece las restricciones de acceso a los recursos en función de un horario o
calendario, o desde ciertas ubicaciones.
• Control de acceso interno. Contraseñas, métodos aceptables de cifrado, listas de control de acceso,
etc.
• Control de acceso externo. Paso por cortafuegos, pasarelas de comunicaciones, creación de túneles,
etc.
• Administración. Recursos Humanos, definición de los puestos laborales, organización del personal,
etc.
8
Estos niveles de seguridad han sido la base de desarrollo para otros estándares europeos como el
ITSEC/ITSEM y los internacionales propuestos por la ISO/IEC. Define 10 clases de funcionalidades de las que
5 son equivalentes a las de TCSEC. Las otras 5 funcionalidades están orientadas a aplicaciones en vez de a
sistemas operativos.
El tercer tipo de estándar, mucho más actual y de mayor interés para los fabricantes es el Comman Criteria.
Este estándar, creado en 1996, establece criterios comunes para Europa y Estados Unidos como una iniciativa
común para armonizar TCSEC e ITSEC. La versión actual es la 3.1
Se puede conseguir información complementaria en la web de Common Criteria en la dirección
https://www.commoncriteriaportal.org/
9
Actividades
1. Sobre una instalación de sistemas informáticos en red, por ejemplo, la del aula, describe qué medidas
de seguridad física y ambiental están tomadas y qué otras se podrían tomar para mejorar la seguridad.
2. Repite el ejercicio anterior sustituyendo los elementos de seguridad física por elementos de seguridad
lógica.
3. ¿Cuáles son las cuatro fases de un análisis de investigación forense? ¿Podrías poner ejemplos de
actividades específicas de cada una de las fases?
3. Copias de seguridad
La copia de seguridad es el procedimiento más inútil mientras todo funciona bien, pero el que más se echa
de menos en caso de problemas. No basta con hacer copias de seguridad de los sistemas, además, hay que
comprobar que están bien realizadas y que se hacen las que se deben y no otras.
Junto a la información salvada se asocian a cada copia de seguridad un conjunto de parámetros, los más
habituales son:
10
4. DIRECCIONES DE INTERÉS
INTECO - Instituto Nacional de Tecnologías de la Comunicación:
• www.inteco.es
Blog y repositorio de blogs de seguridad informática de INTECO:
• http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad
Hispasec Sistemas: Seguridad y Tecnologías de información. Noticias diarias y resúmenes anuales de noticias
de actualidad sobre seguridad informática:
• www.hispasec.com
Informes sobre vulnerabilidades en aplicaciones y sistemas operativos, se puede buscar información sobre
las versiones de los productos de distintos fabricantes, e incluso descargar exploits de verificación.
• www.securityfocus.com
Guía completa de seguridad informática
• http://www.rediris.es/cert/doc/unixsec/unixsec.html
Web de seguridad informática de la empresa de tecnologías de información (IT) IDG.
• www.idg.es
Blog de seguridad informática de la empresa Trend Micro con noticias actuales:
• http://blog.trendmicro.es
Portal de ISO 27001 en español:
• www.iso27000.es
Blog sobre auditoría y seguridad informática ISO 27001:
• http://sgsi-iso27001.blogspot.com
Sitio web sobre seguridad informática de GNU/Linux, de Criptonomicón, un servicio ofrecido libremente
desde el Instituto de Física Aplicada del CSIC:
• http://www.iec.csic.es/CRIPTonOMICon/linux/
Blog de la empresa de máxima seguridad S21SEC
• http://blog.s21sec.com/
Blogs sobre seguridad informática. Para estar a la última en novedades sobre vulnerabilidades y ataques.
• http://www.opensecurity.es/
• http://www.bloginformatico.com/etiqueta/seguridad-informatica
Blog de análisis de aplicaciones de seguridad informática:
11
• http://lestathijackthis.wordpress.com/
TESIS completa sobre Seguridad informática.
• http://www.segu-info.com.ar/tesis/
Rootkit Hunter: Analizador de rootkit para sistemas GNU/Linux:
• www.rootkit.nl/
VirusTotal: analizador online de archivos potencialmente malware:
• www.virustotal.com
NESSUS: Aplicación que detecta vulnerabilidades tanto para sistemas y aplicaciones de Windows como
GNU/Linux. En su última versión Nessus4, funciona como servidor web.
• www.nessus.org
Microsoft Baseline Security Analyzer (MBSA): analizador del el estado de seguridad según las
recomendaciones de seguridad de Microsoft, ofrece orientación de soluciones específicas. Sirve para detectar
los errores más comunes de configuración de seguridad y actualizaciones de seguridad que falten.
• http://technet.microsoft.com/es-es/security/cc184924
NMAP: programa de código abierto que sirve para efectuar rastreo de puertos.
• http://www.insecure.org/nmap/
Microsoft Update: para ver las últimas actualizaciones del sistema operativo Windows en caso de tenerlo
instalado en nuestro equipo. Podremos hacerlo entrando con Internet Explorer 5 o superior en:
• http://www.update.microsoft.com/
Comprueba el estado de actualización de tus aplicaciones, con un análisis desde la web de Secunia y su
inspector online:
• http://secunia.com/vulnerability_scanning/online/?lang=es
Analizador del nivel de fortaleza en tus contraseñas:
• http://www.microsoft.com/latam/protect/yourself/password/checker.mspx
Mantenerse siempre informado y al día es la primera y mejor recomendación en materia de seguridad
informática.
Origen y evolución del eFraude
• http://www.securitybydefault.com/2010/01/origen-y-evolucion-del-efraude.html
Los peligros más comunes para los usuarios de Internet los encontramos en las denominadas redes sociales,
ya que son actualmente de las webs más usadas. Para ello se propone analizar la siguiente noticia “Cinco
nuevas estafas en Facebook y Twitter”.
12
• Fuente: http://www.csospain.es/Cinco-nuevas-estafas-en-Facebook-y-Twitter/seccion-
alertas/articulo-196360
13