Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informática
TEMA 1
INTRODUCCIÓN
Seguridad Informática y Seguridad de la Información
La Información es una de las cosas más valiosas de la Empresa, uno de
sus principales activos.
La información es el conjunto de datos que da sentido a una empresa,
datos que la definen, datos con los que trabaja y datos que, en manos
inadecuadas, pueden llevar a la misma ruina.
• Concepto de seguridad: seguridad de la información y seguridad
informática.
Seguridad de la Información
Medidas y procedimientos, humanos y técnicos, para proteger la
información. ( principios CIA).
• Confidencialidad de la información: La información sólo debe
conocerla o puede ser modificada por las personas autorizadas.
• Integridad de la información: La información ha de ser exacta tal
cual fue generada, completa.
• Disponibilidad de la información: La información debe poder verse
cuando sea necesario (usuarios).
Seguridad Informática
Trata de proteger la Información almacenada en ordenadores y transmitida por
telecomunicaciones.
En función de lo que se quiere proteger:
• Seguridad Física. Se asocia a la protección física del sistema ante amenazas como:
Inundaciones, Incendios, Robos,…
• Seguridad Lógica. Protege la parte lógica de un sistema informático: Datos,
Programas, Sistemas Operativos,…
En función del momento en que tiene lugar la protección:
• Seguridad Activa. Se encarga de prevenir, detectar y evitar cualquier incidente en
los sistemas informáticos antes de que se produzca. Ej. Uso de las Contraseñas
• Seguridad Pasiva. Técnicas o procedimientos para que los daños sean lo más
pequeños posibles. Ej. Copias de Seguridad
Conceptos Básicos
Términos específicos que utilizaremos a lo largo del curso:
• Activos
• Vulnerabilidades
• Amenazas
• Ataques
• Riesgos
• Impacto
• Desastres
Conceptos Básicos
Términos:
• Activos
◦ Todos los recursos del sistema (informáticos o no) necesarios para que la
organización alcance los objetivos propuestos; es decir, todo aquello que
tenga valor y que deba ser protegido para evitar que se dañe.
◦ Ej.: Trabajadores, Software, Datos, Comunicaciones, Hardware,…
◦ Desde el punto de vista de la empresa los principales activos son:
◦ Información: Todo elemento que contenga datos (ej. documentos, patentes, datos
empleados, estudios de mercado…)
◦ Software: Programas o aplicaciones (SO, Aplicaciones informáticas…)
◦ Físicos: Infraestructura tecnológica para almacenar, procesar, gestionar o transmitir
la información, incluyendo salas, armarios,…
◦ Personal de la organización que utiliza estos la estructura tecnológica y de
comunicación para el manejo de la información.
Conceptos Básicos
Términos:
• Vulnerabilidades
◦ Toda debilidad de un activo que pueda impedir el correcto funcionamiento
del sistema informático.
◦ Se conocen como “Agujeros de Seguridad”
◦ Se pueden producir por errores en la implementación de aplicaciones o al
configurar el sistema operativo, descuidos,…
◦ Ej.: No utilizar protección frente a fallos eléctricos, no utilizar antivirus o
cortafuegos.
◦ Las Vulnerabilidades deben ser corregidas en el momento en que se
detectan
◦ Para evitarlas se deben actualizar periódicamente los programas y
mantenernos actualizados en temas relacionados con la seguridad
informática.
Conceptos Básicos
Términos:
• Amenazas
◦ Todo lo que afectar al buen funcionamiento de un sistema
informático.
◦ Pueden ser Voluntarias (ataque) e Involuntarias (desastre
natural)
◦ Según el ataque, pueden ser:
◦ Pasivas. Objetivo obtener información: “Escuchas” Ej. Los
equipos informáticos que utilizan programas especializados
para monitorizar el trafico de una red WIFI
◦ Activas. Objetivo realizar cambios no autorizados Ej.
inserción de mensajes ilegítimos, usurpación de identidad
◦ Según el método MAGERIT (análisis de métodos y gestión
de riesgos), pueden ser:
Conceptos Básicos
• Disponibilidad
◦ La información es accesible en el momento adecuado para los usuarios
legítimos.
◦ La violación de la disponibilidad también afecta de manera diferente a un
equipo o a una red:
◦ Equipo de trabajo: cuando un usuario que tiene acceso no puede utilizarlo.
◦ RED: los usuarios que tienen acceso al sistema a través de la red no puedan utilizarlo.
Principios de seguridad
• Otros:
◦ No Repudio
◦ Probar la participación de ambas partes en una
comunicación.
◦ Firmas para que no se pueda negar haber hecho algo
◦ No Repudio de origen: El receptor recibe una prueba
infalsificable del origen del envío
◦ No Repudio de destino: Proporciona al emisor la prueba
de que el destinatario recibió el envío.
◦ Autenticación
◦ Permite identificarla identidad de los participantes de una
comunicación y garantizar que son quienes dicen ser.
◦ Asegura el origen de la información. Ej. suplantación de
identidad o robos de contraseñas.
Políticas de seguridad
• Detallan normas y protocolos a seguir donde se definen las
medidas a tomar para la protección de la seguridad del sistema,
y la definición de los mecanismos para controlar su correcto
funcionamiento
◦ Objetivo
◦ Concienciar a los miembros de una organización sobre la
importancia y sensibilidad de la información y servicios
críticos
◦ Descripción de todo aquello que se quiere proteger.
Planes de contingencia
• Las políticas de seguridad contemplan la parte de prevención
de un sistema, pero no hay que desechar la posibilidad de
que, aun a pesar de las medidas tomadas, pueda ocasionarse
un desastre. Hay que recordar que ningún sistema es
completamente seguro. Es en este caso cuando entran en
juego los planes de contingencia.
• Definición
• El plan de contingencia contiene medidas detalladas para conseguir la
recuperación del sistema, es decir, creadas para ser utilizadas cuando
el sistema falle, no con la intención de que no falle.
El plan de contingencia deberá ser revisado
periódicamente para que siempre pueda estar de acuerdo
con las necesidades de la organización. Entre las
numerosas medidas que debe recoger, podemos indicar:
tener redundancia de datos, tener la información
almacenada de manera distribuida, tener un plan de
recuperación y tener al personal formado y preparado.