El documento trata sobre la seguridad y ética informática. Explica la importancia de la seguridad informática para proteger los sistemas y redes de las empresas de amenazas. Describe los objetivos de la seguridad como la confidencialidad, integridad y disponibilidad de la información. También cubre las clasificaciones de seguridad física vs lógica y activa vs pasiva, así como las amenazas comunes como virus, piratería y fallos técnicos.
2. Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Tema 8
Seguridad y ética informática
3. Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Tema 8
4. 1. Seguridad informática ¿por qué?
El espectacular auge de Internet y de los servicios telemáticos ha hecho que
los ordenadores y las redes se conviertan en un elemento cotidiano en
nuestras casas y en un instrumento imprescindible en las tareas de las
empresas.
Las empresas, sea cual sea su tamaño, disponen de equipos conectados a
Internet que les ayudan en sus procesos productivos. Cualquier fallo en los
mismos puede suponer una gran pérdida económica ocasionada por el parón
producido, de modo que es muy importante asegurar un correcto
funcionamiento de los sistemas y redes informáticas.
Con unas buenas políticas de seguridad, tanto físicas como lógicas,
conseguiremos que nuestros sistemas sean menos vulnerables a las
distintas amenazas.
Tenemos que intentar lograr un nivel de seguridad razonable y estar
preparados para que, cuando se produzcan los ataques, los daños puedan
ser evitados o en caso contrario haber sido lo suficientemente precavidos
para realizar las copias de seguridad.
4
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informáticaSeguridad y ética informática
5. Si estudiamos las múltiples definiciones que de Seguridad Informática
dan las distintas entidades, deduciremos los objetivos
de la Seguridad Informática.
Según la ISO27002 «La seguridad de la información se puede
caracterizar por la preservación de:
• Confidencialidad: Asegura que el acceso a la
información está adecuadamente autorizado.
• Integridad: Salvaguarda la precisión y completitud de la información
y sus métodos de proceso
•Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la
información cuando la necesitan».
2. Objetivos de la seguridadinformática
5
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
6. 2.Objetivos de la seguridad informática
Según INFOSEC Glossary 2000: «Seguridad Informática son las medidas y controles que aseguran la
confidencialidad, integridad y disponibilidad de los activos de los Sistemas de Información, incluyendo
hardware, software, firmware y aquella información que procesan, almacenan y comunican».
Los principales objetivos de la seguridad informática son:
•Confidencialidad: consiste en la capacidad de
garantizar que la información, almacenada en el
sistema informático o transmitida por la red,
solamente va a estar disponible para aquellas
personas autorizadas a acceder a dicha
información.
•Disponibilidad: la definiremos como la
capacidad de garantizar que tanto el
sistema como los datos van a estar
disponibles al usuario en todo momento.
•Integridad: diremos que es la
capacidad de garantizar que los datos no
han sido modificados desde su creación
sin autorización.
•No repudio: este objetivo garantiza la
participación de las partes en una
comunicación.
6
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
7. 2.Objetivos de la seguridad informática
Para conseguir los objetivos enumerados anteriormente, se utilizan los
siguientes mecanismos:
•Autenticación, que permite identificar al emisor de un mensaje, al
creador de un documento o al equipo que se conecta a una red o a un
servicio.
•Autorización, que controla el acceso de los usuarios a zonas
restringidas, a distintos equipos y servicios después de haber
superado el proceso de autenticación.
• Auditoría, que verifica el correcto funcionamiento de las políticas o
medidas de seguridad tomadas.
• Encriptación, que ayuda a ocultar la información transmitida por la red o
almacenada en los equipos
• Realización de copias de seguridad e imágenes de respaldo.
• Antivirus.
7
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
8. 2.Objetivos de la seguridad informática
•Cortafuegos o firewall, programa que audita y evita los intentos de
conexión no deseados en ambos
sentidos, desde los equipos hacia la red y viceversa.
•Servidores proxys, consiste en ordenadores con software especial, que
hacen de intermediario entre la red interna de una empresa y una red
externa, como pueda ser Internet.
•Utilización firma electrónica o certificado digital, son mecanismos
que garantizan la identidad de
una persona o entidad evitando el no repudio en las comunicaciones o en la
firma de documentos.
•Conjunto de leyes encaminadas a la protección de datos personales
que obligan a las empresas a asegurar su confidencialidad.
8
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
9. 3.Clasificación de seguridad
Se pueden hacer diversas clasificaciones de la seguridad informática en función de distintos criterios.
1. Seguridad física y lógica
Seguridad física
La seguridad física es aquella que trata de proteger el hardware de las siguientesamenazas:
9
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
10. 9
3.Clasificación de seguridad
1.Seguridad física y lógica
Seguridadlógica
La seguridad lógica complementa ala
seguridad física, protegiendo el
software de los equipos informáticos,
es decir, las aplicaciones y los datos
de usuario.
Las principales amenazas y
mecanismos de defensason:
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
11. 3. Clasificación de seguridad
3.2. Seguridad activa y pasiva
Seguridad activa
La seguridad activa la podemos definir como el conjunto de medidas que previenen e
intentan evitar los daños en los sistemas informáticos.
Las principales técnicas de seguridad activa son:
11
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
12. 3. Clasificación de seguridad
3.2. Seguridad activa y pasiva
Seguridad pasiva
La seguridad pasiva complementa a la seguridad activa y se
encarga de minimizar los efectos que haya ocasionado algún
percance.
Las técnicas más importantes de seguridad pasiva son:
12
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
13. 4. Amenazas y fraudes en los sistemas de
la información
El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que
es propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la
oficina, como los equipos informáticos, como los datos que se manejan. Cualquier
daño que se produzca sobre estos activos tendrá un impacto en la empresa.
En la siguiente tabla se muestran los pasos a seguir para la mejora de la seguridad:
13
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
14. 4.Amenazas y fraudes en los sistemas de la
información
1.Actuaciones para mejorar la seguridad
Los pasos a seguir para mejorar la seguridad son los siguientes:
•Identificar los activos, es decir, los elementos que la empresa quiere proteger.
• Formación de los trabajadores de las empresas en cuanto a materias de seguridad.
•Concienciación de la importancia de la seguridad informática para los
trabajadores de la empresa.
•Evaluar los riesgos, considerando el impacto que pueden tener los
daños que se produzcan sobre los activos y las vulnerabilidades del
sistema.
• Diseñar el plan de actuación, que debe incluir:
– Las medidas que traten de minimizar el impacto de los daños ya producidos.
– Las medidas que traten de prevenir los daños minimizando la existencia de
vulnerabilidades.
– Revisar periódicamente las medidas de seguridad adoptadas. 14
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
15. • Clasificación de gravedad de lasvulnerabilidades:
13
4. Amenazas y fraudes en los sistemas de la información
4.2. Vulnerabilidades
•Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques.
•Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestro sistema:
•Vulnerabilidades ya conocidas sobre aplicaciones o sistemas instalados. Son
vulnerabilidades de las que ya tienen conocimiento las empresas que desarrollan el programa
al que afecta y para las cuales ya existe una solución.
•Vulnerabilidades conocidas sobre aplicaciones no instaladas. Son conocidas
por las empresas desarrolladores de la aplicación, pero puesto que nosotros no tenemos
dicha aplicación instalada no tendremos queactuar.
•Vulnerabilidades aún no conocidas. Estas vulnerabilidades aún no han sido
detectadas por la empresa que desarrolla el programa, si fuera detectada , podría ser
utilizada contra todos los equipos que tienen instalado esteprograma.
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
16. 4. Amenazas y fraudes en los sistemas de la información
4.3. Tipos de amenazas
Un sistema informático se ve expuesto a un gran número de amenazas y ataques.
Tipos de atacantes
16
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
17. 4. Amenazas y fraudes en los sistemas de la información
4.3. Tipos de amenazas
Los principales ataques que puede sufrir un sistema si se aprovechan sus
vulnerabilidades son:
17
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
18. 4. Amenazas y fraudes en los sistemas de la
información
4.3. Tipos de amenazas
Las formas de actuar de los ataques son las
siguientes:
18
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
19. 18
4. Amenazas y fraudes en los sistemas de la información
4.Pautas de protección para
nuestro sistema
Algunas de las pautas que debes seguir son:
• No instalar nada que no sea necesario en los servidores.
• Actualizar todos los parches de seguridad.
• Formar a los usuarios del sistema para que hagan uso de buenas
prácticas.
• Instalar un firewall.
• Mantener copias de seguridad según las necesidades.
• Gestionar y revisar los logs del sistema. Los logs reflejan toda la
actividad desarrollada en el sistema, por lo que su revisión
periódica puede detectar a tiempo un posible ataque.
• Sentido común y experiencia previa del administrador.
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
20. 5.Leyes relacionadas con la seguridad de la
información
1.Normativa que protege los datos personales
Muy a menudo, en nuestra vida diaria, nuestros datos personales son solicitados para realizar
diversos trámites en empresas o en organismos tanto públicos como privados.
Su gestión está regulada por la Ley de Protección de Datos de Carácter Personal (LO 15/1999), más
conocida como LOPD, que se desarrolla en el RD 1720/2007, y es supervisada por la Agencia
Española de Protección de Datos.
El objetivo de esta ley es garantizar y proteger los derechos fundamentales y, especialmente, la
intimidad de las personas físicas en relación con sus datos personales. Es decir, especifica para qué se
pueden usar, cómo debe ser el procedimiento de recogida que se debe aplicar y los derechos que tienen
las personas a las que se refieren, entre otros aspectos.
Protección de datos
La LOPD no solo la tenemos que conocer
desde nuestra profesión como técnicos en
sistemas microinformáticos y redes, sino
también como particulares, ya que
nuestros datos están almacenadosen
ficheros que deberán cumplir esta
legislación.
20
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
21. 5.Leyes relacionadas con la seguridad de la
información
1.Normativa que protege los datos personales
Medidas de seguridad
Siempre que se vaya a crear un fichero de datos de carácter personal, es
necesario
solicitar la aprobación de la Agencia de Protecciónde Datos.
Cuando se realiza esta solicitud es obligatorio especificar los datos que
figuran en la siguiente tabla:
21
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
22. 21
5.Leyes relacionadas con la
seguridad de la información
1.Normativa que protege los
datos personales
Medidas de seguridad
El nivel que debe aplicarse es el más
alto que corresponda a los datos
incluidos en el fichero, es decir, si
solo contiene los datos personales el
nivel es básico, pero si además se
incluye la afiliación sindical, el nivel
de seguridad del fichero será alto.
Características de los niveles de
seguridad:
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
23. 21
5.Leyes relacionadas con la seguridad de la información
1.Normativa que protege los datos personales
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
24. 5. Leyes relacionadas con la seguridad de la información
2.Normativa de los sistemas de información
y comercio electrónico
La regulación de los sistemas de información es un tema muy extenso y complejo, tanto que
existe un organismo, la Comisión del Mercado de las Telecomunicaciones (CMT), que
establece las normas y procedimientos de los mercados nacionales de comunicaciones
electrónicas y de servicios audiovisuales.
La ley 34/2002 de servicios de la información y el comercio electrónico regula el régimen
jurídico de los servicios de la sociedad de la información y la contratación por vía
electrónica en las empresas que proporcionan estos servicios establecidos en España o en
estados miembros de la unión Europea.
Algunos de los aspectos más importantes de esta ley son:
•Las empresas a las que afecta están obligadas a proporcionar información sobre nombre,
domicilio, dirección de correo electrónico, número de identificación fiscal e información
clara sobre el precio de los productos.
•Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la información
contenida en sus servidores, a empresas que se dedican al alojamiento o almacenamiento de datos
o enlaces a datos incluidos por clientes.
• Establece la validez de los contratos realizados por vía electrónica.
22
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
25. 5. Leyes relacionadas con la seguridad de la información
2.Normativa de los sistemas de información
y comercio electrónico
La regulación de los sistemas de información es un tema muy extenso y complejo, tanto que
existe un organismo, la Comisión del Mercado de las Telecomunicaciones (CMT), que
establece las normas y procedimientos de los mercados nacionales de comunicaciones
electrónicas y de servicios audiovisuales.
La ley 34/2002 de servicios de la información y el comercio electrónico regula el régimen
jurídico de los servicios de la sociedad de la información y la contratación por vía
electrónica en las empresas que proporcionan estos servicios establecidos en España o en
estados miembros de la unión Europea.
Algunos de los aspectos más importantes de esta ley son:
•Las empresas a las que afecta están obligadas a proporcionar información sobre nombre,
domicilio, dirección de correo electrónico, número de identificación fiscal e información
clara sobre el precio de los productos.
•Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la información
contenida en sus servidores, a empresas que se dedican al alojamiento o almacenamiento de datos
o enlaces a datos incluidos por clientes.
• Establece la validez de los contratos realizados por vía electrónica.
22
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
26. 5. Leyes relacionadas con la seguridad de la información
Garantías y derechos sobre nuestros datos de carácter personal
Son cuatro los derechos que prevé la normativa vigente:
- Derecho de Acceso: Habilita al titular a solicitar información respecto
a qué datos personales tiene el responsable del fichero y cómo han
sido obtenidos.
- Derecho de Rectificación: Derecho a solicitar al responsable del
fichero que varíe alguno de nuestros datos personales de que
disponga.
- Derecho de Cancelación: Derecho a solicitar que todos aquellos datos
de que disponga el responsable del fichero sean cancelados o, en su
caso, bloqueados.
22
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática
27. 5. Leyes relacionadas con la seguridad de la información
Garantías y derechos sobre nuestros datos de carácter personal
- El derecho de cancelación tiene particularidades por el hecho de que
la cancelación no es directa e inmediata, sino que la solicitud se
tramitará en dos fases:
- Una primera fase de “bloqueo” de los datos, conservándose
únicamente a disposición de las Administraciones Públicas o
Jueces y Tribunales, para poder disponer de éstos en caso de
responsabilidades nacidas de ellos, y en todo caso durante el
plazo de prescripción de dichas acciones.
- Segunda fase, una vez cumplido el plazo, en el que deberá
procederse a la supresión de los datos judicialmente o por parte
de la Administración. –
- Derecho de Oposición: Derecho a solicitar que nuestros datos
personales no sean tratados con una finalidad concreta, sin que ello
suponga la eliminación de la base de datos.
22
Calle Maria Llàcer, 12 , bajo Valencia, 46007 Teléfono: +34 610 97 55 59 info@cfalvaro.com www.cfalvaro.com
Seguridad y ética informática