1.- DEFINICIÓN

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas
destinados a conseguir un sistema de información seguro y confiable.

2.- CONCEPTOS

Vulnerabilidad o “Agujeros de seguridad”

Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño. Las
vulnerabilidades pueden aparecer en cualquiera de los elementos del sistema informático, que recordemos que está
formado por: Hardware, Software y Personal.

Amenaza

Una amenaza es la presencia de uno o más factores (máquinas, personas, etc) que de forma accidental o
intencionada atacan al sistema aprovechándose de alguna vulnerabilidad. Hay que tener en cuenta que cada activo
es vulnerable a distinto tipo de amenaza, por ejemplo, los datos son vulnerables a los hackers, mientras que una
instalación eléctrica es vulnerable a un cortocircuito.

Riesgo

Un riesgo es la probabilidad de que se ejecute una amenaza, dando lugar a un ataque al sistema. Hay riesgos que son
asumibles y otros que no lo son.

Impacto

Es la medida de las consecuencias producidas por un riesgo o una amenaza que se ha materializado y ha causado
daños en nuestros activos

Activos

Son todos los recursos de la empresa, necesarios para que función correctamente. Edificios, Hardware, Software,
personal, etc.

Ataque

Un ataque es una acción que trata de aprovechar una vulnerabilidad, para provocar un impacto sobre algún activo de
la empresa.

3.- RECURSOS/ACTIVOS A PROTEGER

1. Datos:

es lo más importante de la organización y pueden ser de diferente índole como económicos, fiscales, de
clientes, trabajadores, proveedores, etc.

2. Software:
Es el sistema operativo y las aplicaciones que se encargan de gestionar los datos

3. Hardware:
Son los equipos informáticos como las Workstation, servidores, router, etc y sus periféricos

4. Redes/comunicaciones:

la información viaja por las redes tanto por las redes locales como por Internet. Por
ello hay que proteger dichas comunicaciones.

5. Soporte:
Son los lugares donde se almacena la información (DVD, discos duros, papel, etc)

6. Instalaciones:
Son los lugares que albergan los sistemas informáticos

7. Personal:

son las personas que interactúan con el sistema de información como administradores,
programadores, usuarios internos y externos de la empresa, etc.

8. Servicios:
Que se ofrecen a clientes o usuarios como sitios web, foros, correo, servidor de archivos, etc

4.- TIPOS DE SEGURIDAD

SEGURIDAD Física Y LÓGICA

Seguridad física:

comprende el conjunto medidas cuyo objetivo es evitar o reducir los riesgos que amenazan a
los equipos infomáticos como ordenadores, servidores, router, switch, etc.

Seguridad lógica:

está formada por las medidas cuyo objetivo es proteger la información como las aplicaciones,
datos, etc.

SEGURIDAD ACTIVA Y PASIVA

Seguridad activa:

comprende el conjunto medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al
sistema.

Seguridad pasiva:

está formada por las medidas cuyo objetivo es que una vez producido el incidente de
seguridad, minimizar su repercusión y facilitar la recuperación del sistema.

4.- AMENAZAS Y CLASES

Definición

Una amenaza es la presencia de uno o más factores (máquinas, personas, etc) que de forma accidental o
intencionada afectan o atacan al sistema aprovechándose de alguna vulnerabilidad. Hay que tener en cuenta que
cada recurso es vulnerable a distinto tipo de amenaza, por ejemplo, los datos son vulnerables a los hackers, mientras
que una instalación eléctrica es vulnerable a un cortocircuito.

Clasificación:

Las amenazas las podemos clasificar en 4 grupos:

1. De interrupción:

consiste en inutilizar un dispositivo o servicio del sistema y por lo tanto el acceso a su
información. Un ejemplo es el ataque de Denegación de servicio DoS(Deny of Service) que consiste en
detener o colapsar una computadora o un servicio de red para que ningún usuario legítimo pueda acceder a él.
En muchas ocasiones se suele realizar mediante botnet o redes zombi que controlan cientos de máquinas para
hacer ataques distribuidos llamándose ataques DDoS.

2. De interceptación:

en este caso un intruso accede a un recurso del sistema como un equipo, servidor o el
propio tráfico de red, para captar información confidencial como datos, programas, identidad de personas, etc.
Dentro de este ataque está el Sniffing que consiste en rastrear monitorizando el tráfico de una red.

3. De modificación:

además de interceptar un recurso, lo que hacen es modificar la información, por ejemplo
modificar una respuesta enviada a un usuario, alterar el comportamiento de una aplicación, etc. Dos casos de
modificación son:

o Man in the middle que consiste en que un atacante intercepta una comunicación entre dos partes
suplantando las identidades de los extremos y por lo tanto recibiendo el tráfico en los dos sentidos.

o Pharming: consiste en acceder a un equipo o servidor DNS a través de alguna vulnerabilidad y modificar
su tabla DNS redirigiendo un nombre de dominio a una IP distinta probablemente fraudulenta.

4. Fabricación:

es una modificación de un objeto o servicio para conseguir uno similar al atacado para
sustituirle siendo difícil distinguir entre el original y el fabricado. Un ejemplo es el Spoofing que suplanta la
identidad o realiza una copia o falsificación, por ejemplo falsificación de IP, MAC, web, mail, etc.

5.- SISTEMA SEGURO

Un sistema informático se considera seguro si cumple las siguientes propiedades:

● Confidencialidad:

garantiza en que la información esté únicamente al alcance de las personas o entidades
autorizadas. Esto se consigue con la autenticación de usuario y contraseña. Por ejemplo cifrar(Truecrypt) un
pendrive para que solo pueda acceder un usuario con su contraseña, crear un usuario y contraseña para acceder
a una carpeta o a un sistema operativo

● Integridad:

este principio garantiza que los datos del sistema no han sido alterados ni destruidos por personas
no autorizadas. Por ejemplo descargarnos un archivo/software de Internet y que lo que nos descarguemos sea
idéntico a lo que nos ofrecen en la página (MD5, SHA). Otros ejemplos son el cálculo del dígito de control
EAN13 que se usa en muchas utilizades como código de barras, identificación tributaria, ISBN, número de
cuenta bancaria, etc.

● Disponibilidad:

consiste en que los equipos informáticos y su información debe estar disponible en el
momento en que se necesite. Por ejemplo disponer de copias de seguridad, redundancia de datos, equipos, etc.

● NO repudio o irrenunciabilidad:

dos tipos:

O En origen:

consiste en que el emisor no pueda negar el envío de una información, ya que el receptor tiene
pruebas de ello y de la entidad del emisor.

O En destino:

en este caso es el destinatario quien no puede negar haber recibido el envío ya que el emisor
tiene pruebas de ello.

6.- AUDITORÍA INFORMÁTICA

La auditoría es un análisis pormenorizado de un sistema de información que permite descubrir, identificar y corregir
vulnerabilidades en los activos que lo componen y en los procesos que se realizan. Su finalidad es verificar que se
cumplen los objetivos de la política de seguridad de la organización. Proporciona una imagen real y actual del
estado de seguridad de un sistema de información.

7.- LEGISLACIÓN DE SEGURIDAD Informática

El romper la seguridad informática de una empresa para robar datos es un delito perseguido por la ley.

LOPD:

Ley Orgánica de Protección de Datos de Carácter Personal: establece las bases para proteger el tratamiento
de los datos de carácter personal de las personas físicas, es decir toda información numérica, gráfica, fotográfica,
acústica o de cualquier tipo concerniente a una persona física identificable.

Los ficheros que contengan datos personales deben notificarse a la agencia española de protección de datos para su
inscripción (www.Agpd.Es en el apartado CANAL DEL RESPONSABLE)

Los ficheros excluidos del ámbito del ámbito de la ley LOPD son:

– Los ficheros exclusivamente personales o domésticos.

– Los sometidos a protección de materias clasificadas.

– Los relativos a la investigación de terrorismo y delincuencia.

Esta ley define tres niveles de seguridad en función de la sensibilidad de los datos tratados:

	Tipo de datos	Medida de Seguridad
Nivel Básico	Nombre, Apellidos, Direcciones de contacto o electrónicas, teléfono, etc.	– Identificar y autenticar a los usuarios que pueden trabajar con esos datos – Llevar un registro de incidencias acontecidas en el fichero. – Realizar una copia de seguridad como mínimo semanalmente.
Nivel Medio	Comisión, infracciones penales y administrativas, datos de Hacienda, datos de servicios financieros	– Las medidas de seguridad de nivel básico – Al menos una vez cada dos años una auditoría externa verificará los procedimientos de seguridad. – Debe existir control de acceso físico a los medios de almacenamiento de los datos.
Nivel Alto	Ideología, religión, creencias, origen racial, salud, vida	– Las medidas de seguridad de nivel medio – Cifrado de las comunicaciones – Registro detallado de todas las operaciones sobre el fichero, incluyendo usuario, fecha y hora, tipo de operación y resultado de la autenticación y autorización.

La LSSI-CE:

Ley de Servicios de la Sociedad de la Información y Comercio Electrónico regula las empresas que
prestan servicios de la sociedad de la información, como por ejemplo todas las páginas webs que consiguen algún
tipo de ingreso, bien directo (pago de cuotas, venta de productos y servicios) o indirecto (publicidad), obligándolas
entre otras cosas a incluir en su página información de la persona o empresa que está detrás de esa página; su
nombre o denominación social, dirección postal, datos de inscripción en el registro de la propiedad mercantil, etc.
Por ejemplo accedemos a la página de marca y abajo del todo aparece “política de privacidad” donde nos da
información de la empresa. O en amazon abajo aparece “Aviso de privacidad”.

La LPI:
Ley de Propiedad Intelectual establece los derechos de autor en los entornos digitales considerando la
digitalización de un contenido como un acto de reproducción por lo que se necesita la autorización del titular del
contenido. Para compensar a los autores por estas copias no controladas, se establece un canon sobre los distintos
dispositivos de almacenamiento, este canon revierte en las sociedades de autores.