Seguridad

Informática
TEMA 1
INTRODUCCIÓN
Seguridad Informática y Seguridad de la Información
La Información es una de las cosas más valiosas de la Empresa, uno de
sus principales activos.
La información es el conjunto de datos que da sentido a una empresa,
datos que la definen, datos con los que trabaja y datos que, en manos
inadecuadas, pueden llevar a la misma ruina.
• Concepto de seguridad: seguridad de la información y seguridad
informática.
Seguridad de la Información
Medidas y procedimientos, humanos y técnicos, para proteger la
información. ( principios CIA).
• Confidencialidad de la información: La información sólo debe
conocerla o puede ser modificada por las personas autorizadas.
• Integridad de la información: La información ha de ser exacta tal
cual fue generada, completa.
• Disponibilidad de la información: La información debe poder verse
cuando sea necesario (usuarios).
 Seguridad Informática
Trata de proteger la Información almacenada en ordenadores y transmitida por
telecomunicaciones.
En función de lo que se quiere proteger:
• Seguridad Física. Se asocia a la protección física del sistema ante amenazas como:
Inundaciones, Incendios, Robos,…
• Seguridad Lógica. Protege la parte lógica de un sistema informático: Datos,
Programas, Sistemas Operativos,…
En función del momento en que tiene lugar la protección:
• Seguridad Activa. Se encarga de prevenir, detectar y evitar cualquier incidente en
los sistemas informáticos antes de que se produzca. Ej. Uso de las Contraseñas
• Seguridad Pasiva. Técnicas o procedimientos para que los daños sean lo más
pequeños posibles. Ej. Copias de Seguridad
Conceptos Básicos
Términos específicos que utilizaremos a lo largo del curso:
• Activos
• Vulnerabilidades
• Amenazas
• Ataques
• Riesgos
• Impacto
• Desastres
Conceptos Básicos
Términos:
• Activos
◦ Todos los recursos del sistema (informáticos o no) necesarios para que la
organización alcance los objetivos propuestos; es decir, todo aquello que
tenga valor y que deba ser protegido para evitar que se dañe.
◦ Ej.: Trabajadores, Software, Datos, Comunicaciones, Hardware,…
◦ Desde el punto de vista de la empresa los principales activos son:
◦ Información: Todo elemento que contenga datos (ej. documentos, patentes, datos
empleados, estudios de mercado…)
◦ Software: Programas o aplicaciones (SO, Aplicaciones informáticas…)
◦ Físicos: Infraestructura tecnológica para almacenar, procesar, gestionar o transmitir
la información, incluyendo salas, armarios,…
◦ Personal de la organización que utiliza estos la estructura tecnológica y de
comunicación para el manejo de la información.
 Conceptos Básicos
Términos:
• Vulnerabilidades
◦ Toda debilidad de un activo que pueda impedir el correcto funcionamiento
del sistema informático.
◦ Se conocen como “Agujeros de Seguridad”
◦ Se pueden producir por errores en la implementación de aplicaciones o al
configurar el sistema operativo, descuidos,…
◦ Ej.: No utilizar protección frente a fallos eléctricos, no utilizar antivirus o
cortafuegos.
◦ Las Vulnerabilidades deben ser corregidas en el momento en que se
detectan
◦ Para evitarlas se deben actualizar periódicamente los programas y
mantenernos actualizados en temas relacionados con la seguridad
informática.
 Conceptos Básicos
Términos:
• Amenazas
◦ Todo lo que afectar al buen funcionamiento de un sistema
informático.
◦ Pueden ser Voluntarias (ataque) e Involuntarias (desastre
natural)
◦ Según el ataque, pueden ser:
◦ Pasivas. Objetivo obtener información: “Escuchas” Ej. Los
equipos informáticos que utilizan programas especializados
para monitorizar el trafico de una red WIFI
◦ Activas. Objetivo realizar cambios no autorizados Ej.
inserción de mensajes ilegítimos, usurpación de identidad
◦ Según el método MAGERIT (análisis de métodos y gestión
de riesgos), pueden ser:
Conceptos Básicos

Grupos de amenazas Ejemplos

Desastres naturales Fuego, daños por agua…

Desastres industriales Fuego, daños por agua, contaminación mecánica,

electromagnética….

Errores y fallos no intencionados Errores de usuario, de configuración….

Ataques deliberados Manipulación configuración, suplantación identidad

del usuario, difusión de software dañino….

Historia secreta de los hackers

Conceptos Básicos
Ataques
◦ Aprovecha una vulnerabilidad del sistema informático para provocar un
impacto sobre él e incluso tomar el control del mismo
◦ Pueden ser intencionados como fortuitas
◦ Ej. acceso al servidor de forma ilegítima o ataques de denegación de servicio
para colapsar el servidor
◦ Fases de un ataque:
◦ Reconocimiento: Obtener la información necesaria de la víctima, que puede ser una
persona u organización
◦ Exploración: Conseguir información del sistema víctima, por ej. dirección IP, nombre
del host, datos de autenticación,…
◦ Obtención de acceso: Con la información conseguida se trata de encontrar una
vulnerabilidad con la que realizar el ataque
◦ Mantener el acceso: Una vez dentro se buscará la forma de implementar herramientas
que permitan el acceso de nuevo al sistema
◦ Borrar huellas: Intentar borrar las huellas que se han podido dejar para evitar ser
detectado
Conceptos Básicos
Términos:
• Ataques
◦ Ingeniería social. Obtener información confidencial y/o sensible de un
usuario.
◦ El ataque más simple sería el de engañar al usuario haciéndose
pasar por el administrador del sistema de su organización para
obtener alguna información de relevancia.
◦ Ej. Un usuario malicioso haciéndose pasar por el administrador
de la organización envía un email a los usuarios para obtener
información, en este caso la contraseña, de manera engañosa.
Conceptos Básicos

Ejemplo de ataque de ingeniería social:

 Conceptos Básicos
Términos:
• Riesgos
◦ Probabilidad de que se materialice una amenaza
◦ El coste de su prevención sube de manera exponencial según la necesidad de minimizar el
riesgo, por lo que ningún coste debe ser superior al del sistema y la información que protege
◦ Para establecer los procedimientos de seguridad adecuados, se debe realizar:
◦ Clasificación de datos
◦ Análisis de riesgos hay que tener en cuenta:
◦ Activos hay que proteger, sus vulnerabilidades y amenazas
◦ Probabilidad de que se produzcan e impacto
◦ Tiempo, esfuerzo y dinero a invertir
◦ Niveles de Riesgo:
◦ Alto. Robo de información y/o Hardware
◦ Medio: Acceso no autorizado
◦ Muy bajo: Inundaciones
Conceptos Básicos
Términos:
• Impacto
◦ Alcance producido o daño causado en caso de que una amenaza se
materialice.
◦ El impacto varía en función de la estrategia de la empresa (Ej. Copias de
seguridad).
◦ Un impacto leve puede tener poca importancia pero uno grave puede
provocar la quiebra de la empresa.
◦ Las empresas deben identificar los impactos para la organización en el
caso de que las posibles amenazas se produzcan.
◦ Esta identificación de los impactos es uno de los objetivos del análisis de
riesgo que debe realizar toda organización.
Conceptos Básicos
Términos:
• Desastres
◦ Según la ISO27001, un desastre es cualquier evento accidental, natural o
malintencionado que interrumpe las operaciones o servicios habituales
de una organización
◦ Ej.: La caída de un servidor por un ataque o por una subida de tensión
◦ Las organizaciones deben estar preparadas ante cualquier tipo de
desastre de manera que se reduzca el impacto que pueda ocasionar.
Para ello, desarrollan e implantan planes de contingencia que permitan
la prevención y recuperación de desastres informáticos
 Principios de seguridad
Para ello se debe garantizar que se cumplan los principios básicos de la seguridad
informática:
• Integridad
◦ La información solo puede ser alterada por las personas autorizadas o usuarios
legítimos, independientemente de is esa modificación se produce de forma
intencionada o no.
◦ Por ejemplo, no se viola la integridad cuando usuarios autorizados modifican un
registro de una base de datos o cuando un usuario que trabaja con la base de datos
borra un registro que no debería por error.
◦ La vulnerabilidad de la integridad tiene distinto significado según se produzca en
un equipo o en una red de comunicaciones:
◦ Equipo de trabajo: cuando un usuario no legítimo modifica información del
sistema sin tener autorización para ello.
◦ RED: cuando un atacante actúa como intermediario, recibe los datos, los modifica
y se los envía al destinatario final
 Principios de seguridad
• Confidencialidad
◦ Garantiza que la información solo es accesible e interpretada por personas o
sistemas autorizados.
◦ La vulnerabilidad de la confidencialidad también afecta de manera diferente
a un equipo o a una red:
◦ Equipo de trabajo: cuando un usuario no legítimo accede al sistema sin tener autorización.
◦ RED: el atacante accede a la red y recibe mensajes sin tener autorización

• Disponibilidad
◦ La información es accesible en el momento adecuado para los usuarios
legítimos.
◦ La violación de la disponibilidad también afecta de manera diferente a un
equipo o a una red:
◦ Equipo de trabajo: cuando un usuario que tiene acceso no puede utilizarlo.
◦ RED: los usuarios que tienen acceso al sistema a través de la red no puedan utilizarlo.
 Principios de seguridad
• Otros:
◦ No Repudio
◦ Probar la participación de ambas partes en una
comunicación.
◦ Firmas para que no se pueda negar haber hecho algo
◦ No Repudio de origen: El receptor recibe una prueba
infalsificable del origen del envío
◦ No Repudio de destino: Proporciona al emisor la prueba
de que el destinatario recibió el envío.
◦ Autenticación
◦ Permite identificarla identidad de los participantes de una
comunicación y garantizar que son quienes dicen ser.
◦ Asegura el origen de la información. Ej. suplantación de
identidad o robos de contraseñas.
Políticas de seguridad
• Detallan normas y protocolos a seguir donde se definen las
medidas a tomar para la protección de la seguridad del sistema,
y la definición de los mecanismos para controlar su correcto
funcionamiento
◦ Objetivo
◦ Concienciar a los miembros de una organización sobre la
importancia y sensibilidad de la información y servicios
críticos
◦ Descripción de todo aquello que se quiere proteger.
 Planes de contingencia
• Las políticas de seguridad contemplan la parte de prevención
de un sistema, pero no hay que desechar la posibilidad de
que, aun a pesar de las medidas tomadas, pueda ocasionarse
un desastre. Hay que recordar que ningún sistema es
completamente seguro. Es en este caso cuando entran en
juego los planes de contingencia.
• Definición
• El plan de contingencia contiene medidas detalladas para conseguir la
recuperación del sistema, es decir, creadas para ser utilizadas cuando
el sistema falle, no con la intención de que no falle.
El plan de contingencia deberá ser revisado
periódicamente para que siempre pueda estar de acuerdo
con las necesidades de la organización. Entre las
numerosas medidas que debe recoger, podemos indicar:
tener redundancia de datos, tener la información
almacenada de manera distribuida, tener un plan de
recuperación y tener al personal formado y preparado.