1. BLOQUE 1- ELEMENTOS DE SEGURIDAD EN LA EMPRESA
1
SMR 2º curso- Módulo Seguridad Informática Profesor: Daniel Espinosa
2. ÍNDICE
Introducción a la seguridad informática y seguridad de la
información
Fiabilidad, Confidencialidad, Integridad y Disponibilidad
Elementos vulnerables en el sistema informático:
Hardware, software y datos
Amenazas
Provocadas por las personas
Físicas y lógicas
Técnicas de ataque
Protección de los sistemas
Auditorías de seguridad para la prevención
Medidas de seguridad
Alta Disponibilidad
2
4. Seguridad informática y seguridad de la
información
SEGURIDAD INFORMÁTICA
La seguridad informática ese un conjunto de acciones que tienen como
objetivo la protección de sistemas informáticos, entendidos como la
unión de datos (la información) y los componentes de HW y SW que
darán soporte a dicha información.
Las personas que hacen uso de la misma serán un factor a tener en cuenta
como posibles detonantes de amenazas, además de las vistas en la UD1.
4
5. Seguridad informática y seguridad de la
información
SEGURIDAD INFORMÁTICA
Cuando hablamos de seguridad informática, estamos centrando nuestra
atención en aquellos aspectos de la seguridad que inciden directamente
en los medios informáticos en los que la información se genera, se
gestiona, se transmite, se almacena o se destruye, desde el punto de vista
tecnológico de la informática.
Ejemplos de este entorno tecnológico de la seguridad informática son:
El uso de la criptografía para la protección de los datos
Las herramientas que permiten asegurar y fortificar las redes
Los métodos que añaden seguridad a las aplicaciones informáticas,
programas y bases de datos
5
6. Seguridad informática y seguridad de la
información
SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información es un concepto más ampliio, y que abarca
no sólo la protección de los sistemas informáticos sino que implica tomar
medidas para proteger y salvaguardar la información,
independientemente del soporte en el que se encuentre, y asegurar así la
buena gestión de la misma y la continuidad del negocio.
El objetivo común será asegurar la tríada CIA (CID en español)
La confidencialidad de la información (Confidentiality)
La integridad de la información (Integrity)
La disponibilidad de la información (Availability)
6
7. Seguridad informática y seguridad de la
información
SEGURIDAD DE LA INFORMACIÓN
Cuando hablamos de seguridad de la información, especialmente se
tienen en cuenta aspectos de la gestión de dicha seguridad como sería el
caso de las políticas y planes de contingencia y seguridad que toda
empresa debe plantearse, la orientaciónd e esta seguridad hacia la
continuidad del negocio, así como su adecuación a la legalidad y
normativas internacionales.
Ejemplos de entorno empresarial y estratégico de la seguridad:
La gestión del riesgo y de la seguridad de la información
Las políticas de seguridad que permitan el buen gobierno
La adecuación de la seguridad a las normativas internacionales y a la
legislación vigente.
7
9. Seguridad informática y seguridad de la
información
SEGURIDAD INFORMÁTICA
Protege el sistema informático, tratando de asegurar la integridad y la
privacidad de la información que contiene.
Para ello se aplican medidas técnicas para preservar o proteger la
infraestructura y comunicaciones de la empresa, es decir el HW y
SW.
SEGURIDAD DE LA INFORMACIÓN
Se encarga de garantizar la confidencialidad, integridad y la
disponibilidad de la información.
La seguridad de la información establecer las pautas a seguir para la
protección de la información.
9
10. Seguridad informática y seguridad de la
información
No es lo mismo seguridad informática que seguridad de la
información
La seguridad informática está enfocada en el HW, SW y los datos
La seguridad informática es más tecnológica
La seguridad de la información está centrada en el proceso de
gestión que permite proteger la información como un activo más de
la organización
La seguridad de la información es más estratégica
Ambas son complementarias
En una compañía grande encontraremos como responsables de cada
una:
Chief Security Offices – CSO que reporta a la dirección
Chief Information Security Officer CISO que reporta al CSO
10
11. Introducción a la seguridad informática
y seguridad de la información
La seguridad informática protege los recursos de una
organización para conseguir:
Que se utilicen para lo que fueron concebidos
Que accedan a los mismos únicamente las personas
acreditadas para ello
11
12. Introducción a la seguridad informática y
seguridad de la información
OBJETIVOS DE LA SEGURIDAD INFORMÁTICA
Detectar los posibles problemas y amenazas a la seguridad,
minimizando y gestionando los riesgos.
Garantizar el correcto uso de los recursos y de las
aplicaciones de los sistemas.
En caso de error, crear los mecanismos para evitar pérdidas y
para recuperar el sistema.
Cumplir las normas y leyes impuestos tanto en la
organización como nacionales y europeos.
LA SEGURIDAD ABSOLUTA NO ES POSIBLE
PERO EL OBJETIVO ES ALCANZAR LA MÁXIMA POSIBLE
12
13. Fiabilidad, Confidencialidad, Integridad y
Disponibilidad
Algunos conceptos asociados a la seguridad:
FIABILIDAD: probabilidad de que un sistema se
comporte como se espera de él
“El único sistema que es totalmente seguro es aquel que se encuentra
apagado y desconectado, guardado en una caja fuerte de titanio que está
enterrada en cemento, rodeada de gas nervioso y de un grupo de guardias
fuertemente armados. Aún así, no apostaría mi vida en ello". Eugene H.
Spafford
Hablaremos entonces de SISTEMAS FIABLES ya que recoge y define más
detalladamente un sistema seguro.
13
14. Fiabilidad, Confidencialidad, Integridad
y Disponibilidad
Definición de Seguridad de la información según la
ISO27002:
“la seguridad de la información se puede caracterizar
por prevenir las actividades que atentan contra la
confidencialidad, integridad y disponibilidad de la
información”
Para mantener un sistema FIABLE, deberemos cuidar
de estos tres aspectos: confidencialidad, integridad
y disponibilidad
14
15. Fiabilidad, Confidencialidad, Integridad
y Disponibilidad
CONFIDENCIALIDAD: asegura que el acceso a la
información está adecuadamente autorizado. Comprende
por tanto la privacidad y protección de la información.
15
16. Fiabilidad, Confidencialidad, Integridad
y Disponibilidad
INTEGRIDAD: comprueba la precisión y completitud de
la información y sus métodos de proceso. Es decir, permite
comprobar que no se ha producido manipulación frente a
la información original, es decir, que no se ha alterado.
16
17. Fiabilidad, Confidencialidad, Integridad
y Disponibilidad
DISPONIBILIDAD: asegura que los usuarios
autorizados pueden acceder a la información cuando
la necesitan. Por tanto la información estará accesible
cuando se necesita evitando pérdidas y bloqueos.
17
18. Fiabilidad, Confidencialidad, Integridad
y Disponibilidad
ALTA DISPONIBILIDAD
La alta disponibilidad (High Availability) busca que las aplicaciones y
datos se encuentren disponibles en todo momento. Por tanto su
objetivo es
Las métricas comúnmente utilizadas para medir la disponibilidad y
fiabilidad de un sistema son:
tiempo medio entre fallos. Mide el tiempo que transcurre hasta al
siguiente fallo
tiempo medio de recuperación Mide el tiempo de restauración del
sistema a una situación normal, desde que sucede un fallo
18
mantener los sistemas funcionando
24 horas del día, 7 días a la semana, 365 días al año
19. Fiabilidad, Confidencialidad, Integridad
y Disponibilidad
ALTA DISPONIBILIDAD
Un sistema se mide en niveles de seguridad según el
número de nueves. Ya que indica un tiempo de inactividad
anual
19
21. Fiabilidad, Confidencialidad, Integridad
y Disponibilidad
21
Además de estos conceptos debemos añadir dos más:
Autenticación: el sistema debe verificar que un usuario identificado es
quien dice ser.
No repudio : comprueba la autenticación de las
partes involucradas en una comunicación
Confidencialidad
Integridad
Disponibilidad
Autenticación
No repudio
CIDAN:
Conceptos que definen
un sistema fiable
22. Fiabilidad, Confidencialidad, Integridad
y Disponibilidad
22
DEFINICIÓN DE SEGURIDAD INFORMÁTICA
En el entorno empresarial, se define la información como un activo que
posee valor para una organización y requiere, por tanto, de una
protección adecuada para asegurar la continuidad del negocio,
minimizar los daños a la organización y maximizar el retorno de las
inversiones y las oportunidades de negocio.
Podemos encontrar todas estas definiciones en la norma ISO 27002, que
tiene su traducción al español en la norma UNE-ISO/IEC 17799
La seguridad informática es el conjunto de herramientas, técnicas,
dispositivos y procedimientos orientados a conseguir, mejorar o
garantizar determinados niveles de confidencialidad, disponibilidad,
integridad, autenticidad y/o no repudio de la información con la que
trabaja un sistema informático.