SEGURIDAD INFORMÁTICA

 Se ocupa de que la información manejada por una

computadora esté disponible y en condiciones de ser
procesada en cualquier momento y se mantenga
confidencial si así se lo requiere.
 Protege la:
 Integridad
 Operatividad
 Confidencialidad

de la información.
Integridad
 Característica de la Información que hace que su
contenido permanezca invariable a menos que sea
modificado por una persona autorizada (corrupción
de un archivo por falla de hardware, software o virus
informático y otros códigos dañinos; alteración realizada
por un intruso con el fin de causar algún daño).

Operatividad (o Disponibilidad)
 Capacidad de estar siempre disponible para ser
procesada.
 Requiere que:
 Esté correctamente almacenada en los formatos
preestablecidos.
 El hardware que la contiene funcione normalmente.
Confidencialidad
 Necesidad de que la información sea conocida sólo por
personas autorizadas.
 Característica propia de la información que varía de
acuerdo a la información misma y a su entorno.
 En el caso de una falla de confidencialidad, la información
puede volverse inútil u obsoleta.

SISTEMA INFORMÁTICO
 Para la seguridad informática, un sistema informático
está formado por personas, computadoras, papeles,
medios de almacenamiento digital, el entorno donde
actúan y sus interacciones.
Componentes de un Sistema Informático
 Personas: todas las que actúan en el entorno, aún las que no realizan
tareas con las computadoras (ej. Personal de limpieza).
 Computadoras: Hardware, Software, información almacenada y
procesada, sistemas de cableado de redes, todos los dispositivos
conectados a la computadora.
 Papeles: Tener especial cuidado con el destino final de los mismos
luego de que son utilizados. De ser necesario, destruirlos con un
destructor de documentos.
 Medios de almacenamiento digital: discos rígidos, DVD, Blu Ray,
etc. Si contienen información importante deben guardarse fuera del
alcance de personas no autorizadas. Destruirlos antes de tirarlos a la
basura.
 Entorno: medio físico donde están insertos e interactúan los
elementos anteriores.
 Interacciones: cualquier tipo de intercambio que se establezca entre
algunos de los elementos antes mencionados.
Riesgos de un Sistema Informático
Todos aquellos factores que ponen en peligro la integridad, la operatividad y
la confidencialidad de la información.

Un paso fundamental para realizar cualquier tarea de seguridad informática

es identificar los factores de riesgo.

Otro riesgo:
Fallas en observación y apreciación de los responsables en llevar a cabo la
evaluación de los riesgos.

Error fundamental:

Supuestos. Dejar de lado algo que puede fallar.

 Riesgos y aspectos de la seguridad que afecta
Componentes Aspectos de seguridad para la información que afecta
Riesgo
del sistema Integridad Operatividad Confidencialidad
Computadoras:
Hardware Hurto X
Sabotaje X X
Catástrofe
X
Climática
Todos los Intrusión por
componentes de monitoreo
la red (además de los X
riesgos
anteriores)
Software:
Programas Hurto X
Sabotaje X X
Virus X X
 Riesgos y aspectos de la seguridad que afecta
Componentes Aspectos de seguridad para la información que afecta
Riesgo
del sistema Integridad Operatividad Confidencialidad
Datos Intrusos X
Virus X X
Personas Sabotaje X X
Intrusión X
Papeles Hurto X
Medios de
almacenamiento Intrusión X
digital
Catástrofes
X
climáticas
Incendio X
Sabotaje X
 Alcance de la Seguridad Informática
 El nivel de seguridad informática difícilmente pueda
llegar a un 100%.
 Los responsables de seguridad informática deben
tomar decisiones entre las cuales está el grado de
inseguridad aceptable de la información.
 El grado de inseguridad es variable y depende del tipo
de sistema de que se trate.
Costos de la Seguridad Informática
 Dependen fundamentalmente del grado de seguridad
que sea necesario implementar.
 Cuanto mayor es el grado de seguridad informática,
más alta será la inversión necesaria.
 Los costos de seguridad para un pequeño usuario
serán bajos, pero esto no implica que tendrá un alto
grado de inseguridad (no está expuesto a sabotajes e
intrusiones, lo que disminuye el grado de inseguridad)
 Relación entre Operatividad y Seguridad
 A mayor seguridad informática , menor operatividad.
 Operatividad = 1 / Seguridad
 Para que una computadora sea totalmente segura
debe:
 Estar instalada 20 metros bajo tierra en un recinto de
hormigón.
 Estar aislada informáticamente de otras computadoras.
 Estar aislada eléctricamente y alimentada por un sistema
autónomo.
 Este modelo ideal de computadora tiene un grado de
seguridad cercano al 100% pero en estas condiciones
puede servir para muy poco , con lo cual casi no tiene
operatividad.
 Políticas, planes y procedimientos de seguridad
Política de seguridad
Declaración de intenciones de alto nivel que cubre la seguridad
de los sistemas informáticos y que proporciona la base para
definir y delimitar responsabilidades para las diversas
actuaciones técnicas y organizativas que se requieran.
Plan de seguridad
Conjunto de decisiones que definen cursos de acción futuros, así
como los medios que se van a utilizar para conseguirlos.
Procedimientos de seguridad
Definición detallada de los pasos a ejecutar para llevar a cabo
unas tareas determinadas .

Permiten aplicar e implantar las políticas de seguridad

Políticas de seguridad: definición e implantación
 Alcance: recursos , instalaciones y procesos sobre los que se aplican.

 Objetivos perseguidos y prioridades de seguridad.

 Compromiso de la Dirección de la organización.

 Clasificación de la información e identificación de los activos a proteger.

 Análisis y gestión de riesgos.

 Elementos y agentes involucrados en la implantación de las medidas.

 Asignación de responsabilidades en los distintos niveles organizativos.

 Definición clara y precisa de los comportamientos exigido y de los que están prohibidos por

parte del personal.

 Identificación de las medidas, normas y procedimientos de seguridad a implantar.

 Gestión de las relaciones con terceros (clientes, proveedores.)

 Planes de contingencia y de continuidad del negocio

 Gestión de incidentes

 Cumplimiento de la legislación vigente.

Políticas, procedimientos y tareas
Política Procedimiento Tareas a realizar
Protección del servidor Actualización del Revisión diaria de los
Web de la organización software del servidor Web parches publicados por el
contra accesos no fabricante.
autorizados Seguimiento de las
noticias sobre posibles
fallos de seguridad
Revisión de los registros Revisión semanal de los
de actividad en el “logs” del servidor para
servidor detectar situaciones
anómalas.
Configuración de
alertas de seguridad que
permitan reaccionar de
forma urgente ante
determinados tipos de
ataques e intentos de
intrusión.
 Inventario de los recursos y
definición de servicios ofrecidos
 La implantación de los distintos elementos de las políticas
de seguridad requiere de un inventario previo y un registro
actualizado de

Los recursos del sistema informático

Hardware, software, datos, documentación, manuales…

 Identificar puntos de acceso a la red y tipos de conexiones.

 Distinguir los servicios ofrecidos por el sistema informático

disponibles para empleados y los que se pretende ofrecer a
usuarios externos.
 Realización de pruebas y auditorías periódicas
 Análisis de posibles vulnerabilidades del sistema
informático, utilizando herramientas informáticas.
 Sondeos de seguridad: detección y revisión de la
instalación y configuración de los equipos de seguridad
(cortafuegos, antivirus…)
 Pruebas de intrusión
 Pruebas de seguridad que contemplen aspectos humanos y
organizativos (ingeniería social)
 Análisis y evaluación de riesgo.
Elementos de las políticas de seguridad
Seguridad frente al personal
 Chequeo de referencias.

 Acuerdos de confidencialidad

 Definición de procedimientos para la creación de nuevas

cuentas de usuario y permisos en función de las
atribuciones y áreas de responsabilidad.
 Elementos de las políticas de seguridad
Seguridad Física de las Instalaciones
 Protección frente a daños por fuego, inundación, explosiones,
accesos no autorizados…
 Selección de los elementos constructivos más adecuados.
 Disponibilidad de zonas destinadas a la carga, descarga y
almacenamiento de suministros.
 Sistemas de vigilancia: cámaras de video, alarmas y detectores de
movimiento.
 Control de las condiciones ambientales en las instalaciones.
 Definición de distintas áreas o zonas de seguridad dentro del
edificio.
o Áreas Públicas: pueden acceder sin restricciones personas ajenas a
la organización.
o Áreas Internas: reservadas a empleados.
o Áreas de acceso restringido: áreas críticas a las que sólo pueden
acceder un grupo reducido de empleados con el nivel de
autorización requerido.
Seguridad física de las instalaciones
 Elementos de las políticas de seguridad
Sistemas de protección eléctrica.

Control del nivel de emisiones electromagnéticas.

Vigilancia de la red y de los elementos de conectividad

(Hubs, switch, router y puntos de acceso inalámbrico).

Protección de los equipos y estaciones de trabajo.

Control de equipos que pueden salir de la organización

Protección en el acceso y configuración de los

servidores.
 Elementos de las políticas de seguridad

Copias de Seguridad

Control de la seguridad de impresoras y otros

dispositivos periféricos.

Gestión de soportes informáticos

Gestión de cuentas de usuarios.

 Elementos de las políticas de seguridad
Identificación de Usuarios
Permite validar la
 Identificación y Autenticación identidad del usuario

Proceso por el cual el usuario presenta una

determinada identidad para acceder a un sistema

 Control de acceso: a los recursos del sistema

informático (equipos, aplicaciones, servicios y datos):
mediante la autorización en función de los permisos y
privilegios.
 Registro del uso de los recursos del sistema por parte
de los usuarios y de las aplicaciones utilizando logs
(registros de actividad) del sistema.
 Identificación de Usuarios
 Elementos para identificar a los usuarios
 Lo que se sabe: contraseñas (passwords), PINs
Dilema de la contraseña: “Cuanto más fácil es de recordar, más
fácil de adivinar. Y cuanto más difícil de descubrir, más difícil de
recordar”
Los sistemas passwords deberían incorporar las siguientes
medidas:
• Número de intentos limitado
• Longitud mínima
• Restricciones de formato. No permiten
passwords triviales
• Expiración de la contraseña.
Identificación de Usuarios
 Lo que se posee (token) : tarjeta de crédito, tarjeta
inteligente, teléfono móvil, llave USB (pen drive) …

Problema: robo o pérdida del objeto

Solución: combinarlo con otro sistema de acceso: contraseña o
biométrico. Su función suele ser reforzar otro sistema.
Identificación de Usuarios
 Lo que un usuario es : características biométricas del
individuo.
 Huellas digitales.

 Geometría de los dedos y las manos.

 Reconocimiento de voz.

 Reconocimiento de iris y retina.

 Reconocimiento de la cara
Identificación de Usuarios
 Ventajas
 Son intransferibles. El intruso no puede utilizarla aunque los conozca.

 No necesitan gestión del usuario: cambiarlas a menudo, recodar frases,

guardar objetos.

 Son seguros ante cualquier ataque

 Desventajas
 Requieren de electrónica adicional para las lecturas.

 Son costosos.

 Generan rechazo a la exposición física a un sensor.

Identificación de Usuarios
 Lo que se sabe hacer: firma manuscrita.

 Donde se encuentra el usuario

Conexiones desde un determinado equipo u ordenador con
una dirección IP previamente asignada, en un acceso a través
de redes físicas protegidas y controladas (que no permita
que los usuarios puedan manipular las direcciones de los
equipos).
Autorización y control de acceso (seguridad lógica)
 Definición y gestión de determinados objetos lógicos (dispositivos
lógicos, ficheros, servicios)
 sujetos (usuarios y grupos, equipos, procesos, roles) a los que se
conceden derechos y privilegios para realizar determinadas
operaciones sobre los objetos.
Tipos de control de acceso:
 Control de acceso Obligatorio (MAC: mandatory Access
Control) : los permisos son definidos por el sistema operativo
 Control de Acceso Discrecional (DAC: Discrecionary Access
Control): los permisos los controla y configura el propietario de
cada objeto.
Monitorización de servidores de red
Protección de datos y documentos sensibles
Clasificación de los documentos y los datos
 Información sin clasificar o desclasificada.
 Información de uso interno
 Información confidencial
 Información secreta o reservada.

Luego de definida la clasificación debemos proceder al marcado ó

etiquetado de los documentos y datos de la organización.

Mantener una base de datos actualizada con la relación de los

documentos más sensibles, registrando: fecha de creación, utilización
prevista, fecha de destrucción, cambio de clasificación del documento.

Especificar medidas de protección en : operaciones de

almacenamiento, transmisión, transporte, tratamiento informático,
impresión y destrucción.
Incluir cláusulas de confidencialidad en los contratos de los
empleados con acceso a los datos y documentos más sensibles.
Si es necesario revelar información sensible a terceros:
contemplar la firma de acuerdos o incluir en los contratos
cláusulas de confidencialidad
De cada acceso a datos y documentos sensibles guardar:
identificación del usuario, fecha y hora en que se realizó, el
documento accedido, el tipo de acceso y si fue autorizado o
denegado.
Encriptación de datos y documentos más sensibles.
Aplicar normas y procedimientos de seguridad a los
ficheros temporales que pudieran guardar datos o documentos
sensibles (borrarlos una vez que hayan dejado de ser necesarios.
Los documentos que ya no tengan que ser conservados:
destruirlos con una máquina trituradora de papel.
 Seguridad de las conexiones remotas

Detección y respuesta ante incidentes de seguridad

Incidencia: Cualquier anomalía que

afecte o pudiera afectar a la
seguridad de los datos

Definir un
procedimiento de
notificación y
gestión

Para realizar una serie de actividades previamente

especificadas que permitan controlar y limitar el impacto del
incidente.
Otros aspectos a tener en cuenta
 Seguridad en el desarrollo, implantación y mantenimiento de
aplicaciones informáticas.

 Seguridad en las operaciones de administración y

mantenimiento de la red y de los equipos.

 Creación, manejo y almacenamiento de documentos

relacionados con la seguridad del sistema informático.

 Cumplimiento de la legislación vigente.

 Actualización y revisión de las medidas de seguridad.

Auditoría de la gestión de la seguridad