2. CONTENIDOS
1. Seguridad informática ¿por qué?
2. Objetivos de la seguridad informática
3. Clasificación de seguridad
4. Amenazas y fraudes en los sistemas de la
información
5. Leyes relacionadas con la seguridad de la
información
3. 1. SEGURIDAD INFORMÁTICA ¿POR QUÉ?
Gran auge de internet.
Los ordenadores instrumento imprescindible.
Podemos hacer operaciones desde casa.
Cualquier fallo supone pérdidas económicas.
Correcto funcionamiento de los equipos informáticos.
Lograr un nivel de seguridad razonable.
4. 2. OBJETIVOS DE LA SEGURIDAD INFORMÁTICA
OBJETIVOS
Confidencialidad: la información va a
estar disponible sólo para aquellas
personas autorizadas.
Disponibilidad: la información esté
disponible para el usuario en todo
momento.
Integridad: garantizar que los datos no
han sido modificados. La información
de que disponemos es válida y
consistente.
No repudio: origen y destino no
pueden negar que lo son puesto que
hay pruebas de ello.
5. 2. OBJETIVOS DE LA SEGURIDAD INFORMÁTICA
Para conseguir los objetivos enumerados anteriormente, se utilizan los siguientes mecanismos:
• Autenticación, que permite identificar al emisor de un mensaje, al creador de un documento o al
equipo que se conecta a una red o a un servicio.
• Autorización, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y
servicios después de haber superado el proceso de autenticación.
• Auditoría, que verifica el correcto funcionamiento de las políticas o medidas de seguridad
tomadas.
• Encriptación, que ayuda a ocultar la información transmitida por la red o almacenada en los
equipos
• Realización de copias de seguridad e imágenes de respaldo
• Antivirus.
• Cortafuegos o firewall, programa que audita y evita los intentos de conexión no deseados en
ambos sentidos, desde los equipos hacia la red y viceversa.
• Servidores proxys, consiste en ordenadores con software especial, que hacen de intermediario
entre la red interna de una empresa y una red externa, como pueda ser Internet.
• Utilización firma electrónica o certificado digital, son mecanismos que garantizan la identidad de
una persona o entidad evitando el no repudio en las comunicaciones o en la firma de
documentos
• Conjunto de leyes encaminadas a la protección de datos personales que obligan a las empresas
a asegurar su confidencialidad.
6. 3. CLASIFICACIÓN DE SEGURIDAD
3.1 SEGURIDAD FÍSICA Y LÓGICA
Seguridad física:
Veamos amenazas y mecanismos
Incendios:
• Mobiliario ignífigo.
• CPD lejos de almacén de sustancias inflamables o explosivos.
• Sistemas antiincendios.
Inundaciones:
• Centros de cálculo evitar estar en plantas bajas.
• Impermeabilizar paredes y techos CPD.
Robos:
• Cámaras de seguridad, vigilantes jurados.
Señales electromagnéticas:
• Centros de cálculo lejos de señales electromagnéticas.
• Si no es posible usar cable de fibra óptica.
Apagones:
• Sistemas de alimentación ininterrumpida (SAI)
Sobrecargas eléctricas:
• Evitar picos de tensión (SAI)
Desastres naturales:
• Instituto Geográfico Nacional.
7. 3. CLASIFICACIÓN DE SEGURIDAD
Seguridad lógica:
Protegiendo el software de los equipos informáticos
Veamos amenazas y mecanismos.
Robos:
• Cifrar la información
• Utilizar contraseñas
Pérdida de información:
• Realizar copias de seguridad.
• Discos redundantes.
Pérdida de integridad en la información:
• Programas de chequeo del equipo.
• Firma digital.
Entrada de virus:
• Antivirus.
Ataques desde la red:
• Firewall.
• Proxys.
Modificaciones no autorizadas:
• Uso de contraseñas.
• Control de acceso.
8. 3. CLASIFICACIÓN DE SEGURIDAD
3.2 SEGURIDAD ACTIVA Y PASIVA
Seguridad activa:
Es el conjunto de medidas que previenen e intentan evitar los daños en los
sistemas informáticos.
Veamos distintas técnicas de seguridad activa.
Uso de contraseñas: previene el acceso de personas no autorizadas.
Listas de control de acceso.
Encriptación:
Uso de software de seguridad: previene de virus
Firmas y certificados digitales: permite comprobar la procedencia.
9. 3. CLASIFICACIÓN DE SEGURIDAD
Seguridad pasiva:
Se encarga de minimizar los efectos que haya
ocasionado algún percance
Veamos distintas técnicas de seguridad pasiva.
Conjunto de discos redundantes.
SAI.
Copias de seguridad.
10. 4. AMENAZAS Y FRAUDES EN LOS SISTEMAS
DE LA INFORMACIÓN
El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa
se denomina activo (sillas, mesas, ordenadores, datos,…)
11. 4.1 ACTUACIONES PARA MEJORA LA SEGURIDAD
Identificar los activos.
Formación de los trabajadores, concienciación.
Evaluar riesgos.
Diseñar plan de actuación (seguridad pasiva y activa)
Revisar periódicamente las medidas.
4.2 VULNERABILIDADES.
Vulnerabilidades ya conocidas sobre aplicaciones o sistemas instalados. Se publica
en forma de parche.
Vulnerabilidades conocidas sobre aplicaciones no instaladas (no hacemos nada)
Vulnerabilidades aún no conocidas. Podría utilizarse por personas ajenas.
4. AMENAZAS Y FRAUDES EN LOS SISTEMAS
DE LA INFORMACIÓN
12. 4.3 TIPOS DE AMENAZAS
Tipos de atacantes
4. AMENAZAS Y FRAUDES EN LOS SISTEMAS
DE LA INFORMACIÓN
Nombre Definición
Hackers Expertos informáticos con una gran curiosidad por descubrir las
vulnerabilidades de los sistemas pero sin motivación económica o
dañina
Crackers Un hacker que, cuando rompe la seguridad de un sistema, lo hace con
intención maliciosa, bien para dañarlo o para obtener un beneficio
económico.
Sniffers Experto en redes que analizan el tráfico para obtener información
extrayéndola de los paquetes que se transmiten por la red
Ciberterrorista Expertos en informática e intrusiones en la red que trabajan para países
y organizaciones como espías y saboteadores informáticos.
Programadores de virus Expertos en programación, redes y sistemas que crean programas
dañinos que producen efectos no deseados en los sistemas o
aplicaciones.
13. Tipos de ataques que puede sufrir
cómo actúan estos ataques.
4. AMENAZAS Y FRAUDES EN LOS SISTEMAS
DE LA INFORMACIÓN
Ataque Definición
Interrupción Un recurso del sistema o la red deja de estar disponible debido a un
ataque
Intercepción Un intruso accede a la información de nuestro equipo o a la que
enviamos por la red
Modificación La información ha sido modificada sin autorización, por lo que ya no es
válida.
Fabricación Se crea un producto (por ejemplo una página Web) difícil de distinguir
del auténtico y que puede utilizarse para hacerse, por ejemplo, con
información confidencial del usuario.
14. Cómo actúan estos ataques.
4. AMENAZAS Y FRAUDES EN LOS SISTEMAS
DE LA INFORMACIÓN
Ataque ¿Cómo actúa?
Spoofing Suplanta la identidad de un PC o algún dato del mismo (como su
dirección MAC)
Sniffing Monitoriza y analiza el tráfico de la red para hacerse con información.
Conexión no autorizada Se buscan agujeros de la seguridad de un equipo o un servidor, y
cuando se descubre, se realiza una conexión no autorizada a los
mismos.
Malware Se introducen programas malintencionados (virus, troyanos o gusanos)
en nuestro equipo, dañando el sistema de múltiples formas.
Phishing Se engaña al usuario para obtener su información confidencial
suplantando la identidad de un organismo o página web de Internet.
15. 4.4 PAUTAS DE PROTECCIÓN PARA NUESTRO SISTEMA.
• No instalar nada que no sea necesario en los servidores.
• Actualizar todos los parches de seguridad.
• Formar a los usuarios del sistema para que hagan uso de buenas prácticas.
• Instalar un firewall.
• Mantener copias de seguridad según las necesidades
• Sentido común.
4. AMENAZAS Y FRAUDES EN LOS SISTEMAS
DE LA INFORMACIÓN
16. 5.1 NORMATIVA QUE PROTEGE LOS DATOS PERSONALES
Muy a menudo, en nuestra vida diaria, nuestros datos personales son solicitados para
realizar diversos trámites en empresas o en organismos tanto públicos como
privados.
Su gestión está regulada por la Ley de Protección de Datos de Carácter Personal (LO
15/1999), más conocida como LOPD, que se desarrolla en el RD 1720/2007, y es
supervisada por la Agencia Española de Protección de Datos.
El objetivo de esta ley es garantizar y proteger los derechos fundamentales y,
especialmente, la intimidad de las personas físicas en relación con sus datos
personales. Es decir, especifica para qué se pueden usar, cómo debe ser el
procedimiento de recogida que se debe aplicar y los derechos que tienen las
personas a las que se refieren, entre otros aspectos.
5. LEYES RELACIONADAS CON LA
SEGURIDAD DE LA INFORMACIÓN
17. MEDIDAS DE SEGURIDAD
Siempre que se vaya a crear un fichero de datos de carácter personal, es necesario
solicitar la aprobación de la Agencia de Protección de Datos.
Cuando se realiza esta solicitud es obligatorio especificar:
5. LEYES RELACIONADAS CON LA
SEGURIDAD DE LA INFORMACIÓN
Datos del fichero Nivel de seguridad
Todos los datos de carácter personal tienen que tener
como mínimo este nivel. Básico
Referidos a infracciones administrativas (o penales), a
gestión tributaria, datos fiscales y financieros.
Datos que proporcionan información sobre las
características o personalidad de los afectados.
Medio
Referidos a ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual. Alto
19. 5.2 NORMATIVA DE LOS SISTEMAS DE INFORMACIÓN Y COMERCIO
ELECTRÓNICO.
5. LEYES RELACIONADAS CON LA
SEGURIDAD DE LA INFORMACIÓN
19
La regulación de los sistemas de información es un tema muy extenso y complejo, tanto que
existe un organismo, la Comisión del Mercado de las Telecomunicaciones (CMT), que
establece las normas y procedimientos de los mercados nacionales de comunicaciones
electrónicas y de servicios audiovisuales.
La ley 34/2002 de servicios de la información y el comercio electrónico regula el régimen
jurídico de los servicios de la sociedad de la información y la contratación por vía
electrónica en las empresas que proporcionan estos servicios establecidos en España o en
estados miembros de la unión Europea.