Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Seguridad de Sistemas de Información: Definición, Factores y Componentes - Prof. Bagus, Apuntes de Historia Económica

La seguridad de sistemas de información (si) y sus componentes funcionales y técnicos. Se abordan los factores que condicionan la seguridad y los tipos de medidas organizativas, físicas y lógicas para garantizar la disponibilidad, integridad, confidencialidad y autenticidad de los si. Además, se discuten los conceptos de análisis de riesgos y gestión de riesgos.

Tipo: Apuntes

2016/2017

Subido el 25/04/2017

andsinmas
andsinmas 🇪🇸

2.8

(6)

5 documentos

1 / 11

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
TEMA 7. SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
¿Cómo podemos definir la seguridad de los sistemas de información?
Dos tipos de definiciones:
1. Definición instrumental: conjunto de técnicas y procedimientos que garantizan tanto
el rendimiento como la eficacia de un sistema informático.
2. Definición funcional: propiedad del sistema de información que permite que los
usuarios pongan una confianza justificada en la calidad del servicio que les ofrece.
Los proyectos europeos coinciden en definir la seguridad de los SI como el conjunto de
técnicas, medidas y procedimientos encaminados a garantizar:
Su disponibilidad que se opone a la retención no autorizada
Su integridad, que se opone a la modificación no autorizada
Su confidencialidad que se opone a la divulgación no autorizada
Su autenticación, es decir, reconocer la autenticidad de cierta información y de la
identidad de los actores
Factores que condicionan la seguridad de los SI
Localización geográfica de los usuarios
Topología de la red de comunicaciones
Instalaciones donde residen los equipos informáticos
Equipo físico que soporta el SI
Configuración del equipo lógico básico
Tipo y estructura de las bases de datos
Forma de almacenamiento de los datos
Número y complejidad de los procesos a realizar
¿Cuáles son los componentes de la seguridad y qué características tiene según
ISO?
Los activos: son los recursos del SI o relacionados con éste, necesarios para que la organización
opere correctamente y alcance los objetivos propuestos por su dirección. Se pueden agrupar y
jerarquizar en función de su composición y se relacionan entre sí por el riesgo al que están
expuestos. Las características a retener de cada activo son su código, descripción, precio
unitario, coste de reposición, tiempo máximo de carencia, nivel de mantenimiento de la
integridad y el nivel de confidencialidad. Pueden ser físicos y lógicos, tangibles e intangibles.
Las amenazas: son los eventos que pueden desencadenar un incidente en la organización,
produciendo daños o pérdidas inmateriales en sus activos. Se pueden agrupar en clases y los
atributos a tener en cuenta son: su código, nombre y frecuencia. Una clasificación de amenazas
podría ser: accidentes (avería de hardware y software, explosión…), errores (error de
utilización, de explotación…) y malintenciones (robo, fraude, sabotaje…).
pf3
pf4
pf5
pf8
pf9
pfa

Vista previa parcial del texto

¡Descarga Seguridad de Sistemas de Información: Definición, Factores y Componentes - Prof. Bagus y más Apuntes en PDF de Historia Económica solo en Docsity!

TEMA 7. SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

¿Cómo podemos definir la seguridad de los sistemas de información?

Dos tipos de definiciones:

  1. Definición instrumental: conjunto de técnicas y procedimientos que garantizan tanto el rendimiento como la eficacia de un sistema informático.
  2. Definición funcional: propiedad del sistema de información que permite que los usuarios pongan una confianza justificada en la calidad del servicio que les ofrece.

Los proyectos europeos coinciden en definir la seguridad de los SI como el conjunto de técnicas, medidas y procedimientos encaminados a garantizar:

  • Su disponibilidad que se opone a la retención no autorizada
  • Su integridad , que se opone a la modificación no autorizada
  • Su confidencialidad que se opone a la divulgación no autorizada
  • Su autenticación , es decir, reconocer la autenticidad de cierta información y de la identidad de los actores

Factores que condicionan la seguridad de los SI

  • Localización geográfica de los usuarios
  • Topología de la red de comunicaciones
  • Instalaciones donde residen los equipos informáticos
  • Equipo físico que soporta el SI
  • Configuración del equipo lógico básico
  • Tipo y estructura de las bases de datos
  • Forma de almacenamiento de los datos
  • Número y complejidad de los procesos a realizar

¿Cuáles son los componentes de la seguridad y qué características tiene según

ISO?

Los activos : son los recursos del SI o relacionados con éste, necesarios para que la organización opere correctamente y alcance los objetivos propuestos por su dirección. Se pueden agrupar y jerarquizar en función de su composición y se relacionan entre sí por el riesgo al que están expuestos. Las características a retener de cada activo son su código, descripción, precio unitario, coste de reposición, tiempo máximo de carencia, nivel de mantenimiento de la integridad y el nivel de confidencialidad. Pueden ser físicos y lógicos, tangibles e intangibles.

Las amenazas : son los eventos que pueden desencadenar un incidente en la organización, produciendo daños o pérdidas inmateriales en sus activos. Se pueden agrupar en clases y los atributos a tener en cuenta son: su código, nombre y frecuencia. Una clasificación de amenazas podría ser: accidentes (avería de hardware y software, explosión…), errores (error de utilización, de explotación…) y malintenciones (robo, fraude, sabotaje…).

La vulnerabilidad : son las debilidades de los activos de la organización. Está ligada a la organización (dejadez…), a los hombres (cansancio…), a los equipos y al entorno (accesibilidad a los locales…).

El impacto : es la medida del daño producido a la organización por un incidente posible. Se centra sobre los activos y por lo tanto puede medirse económicamente.

El riesgo : es la probabilidad subjetiva de que se produzca un impacto dado en la organización una vez materializada una amenaza debido a la vulnerabilidad de un activo. El riesgo residual es el riesgo remanente una vez tenidos en cuenta las salvaguardas a aplicar.

Una salvaguarda : es todo dispositivo, físico o lógico, capaz de reducir el riesgo. Según su naturaleza pueden clasificarse en preventivas (impiden que las amenazas se materialicen) y protectoras o curativas (limitan el impacto una vez materializada una amenaza).

Análisis y gestión de riesgos

Es un método formal para investigar los riesgos de un SI y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. A su vez, es una salvaguarda preventiva que intenta buscar ordenadamente otras salvaguardas para proteger el SI.

Análisis de riesgos : implica la evaluación del impacto que una violación de la seguridad tendría en la empresa; señala los riesgos existentes identificando las amenazas que afectan al SI y la determinación de la vulnerabilidad del sistema a dichas amenazas. Su objetivo es proporcionar una medida de las posibles amenazas, vulnerabilidades del sistema y evaluación e impactos de manera que los medios de seguridad puedan ser seleccionados y distribuidos eficazmente para reducir al mínimo las posibles pérdidas.

Gestión de riesgos : es un proceso separado que utiliza los resultados del análisis de riesgos para seleccionar e implantar las medidas de seguridad adecuadas. Se puede aceptar el riesgo (por su baja posibilidad de ocurrencia), transferirlo contratando los seguros correspondientes (a veces la información perdida o evitar el riesgo (mediante la elaboración de un plan de seguridad informática).

Los métodos principales para el análisis y gestión del riesgo son: MAGERIT, MARION, MELISA, CRAMM del CCTA, OCTAVE, OSSTMM.

¿De qué depende la inversión en seguridad del SI?

Dependerá de:

  • La criticidad de la información que maneje
  • Los recursos que se puedan asignar
  • Los recursos que se quieran emplear en seguridad

¿Qué es un SGSI?

La gestión de la seguridad de la información debe realizarse mediante procedimientos sistemáticos, documentados y conocidos dentro de la organización por el personal que lo tiene que aplicar y recogidos dentro de un SGSI (sistema de gestión de la seguridad de la información).

Su objetivo final es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y la tecnología.

▲ Detectores de incendios

▲ (^) Extintores de incendios

▲ Control de acceso físico (video vigilancia, tornos…)

▲ Falsos suelos y falsos techos

▲ Equipos de climatización

  • Sistemas de Alimentación Ininterrumpida (SAI): Hardware de protección de anomalías en el suministro eléctrico. Disponen de baterías que permiten proseguir con la tarea, guardar la información y cerrar adecuadamente el sistema sin dañarlo. Existen dos tipos de SAI:

▲ SAI on-line: la línea principal de alimentación pasa por la máquina SAI, la cual suministra la intensidad de corriente necesaria para el correcto funcionamiento del equipo físico

▲ SAI off-line: está conectado a una línea alternativa de alimentación. Cuando el SAI detecta el fallo, la línea principal se queda sin servicio y entra en funcionamiento la línea alternativa.

  • Copias de respaldo o seguridad: Backup de la información y de las aplicaciones del SI, en un soporte de almacenamiento barato, fácilmente manejable y manteniéndolas en un lugar seguro. Existen complejos sistemas de copias de seguridad, capaces de almacenar cientos de miles de cintas o cartuchos magnéticos, con robots recuperadores de hasta 96 km/h… la forma de realizar las copias debe estar detallada en un procedimiento operativo de seguridad, el cual debe definir:

▲ Los niveles de periodicidad de copias de seguridad, pudiendo efectuarse copias incrementales (de la información que varía) o copias totales

▲ Tareas a realizar para la recuperación de copias

▲ (^) Registro de las incidencias y recuperaciones que se han efectuado

▲ Soporte físico de la copia (cd, dvd, disco duro…)

▲ Control del almacenamiento de copias

  • Centros de respaldo: en función de la infraestructura y de su disponibilidad en caso de desastre:

▲ (^) sala blanca o Cold site: es un local vacío con existencia de la infraestructura física de un CPD pero sin existir la infraestructura de material informático. El tiempo de recuperación se mide en semanas.

▲ sala templada o Warm site: existe la infraestructura informática al completo pero no está disponible para casos de desastre en todo momento sino que habría que realizar acciones previas para su disponiblidad.el tiempo de recuperación se mide en días.

▲ Sala caliente (hot site): centro de datos completo con procesadores, periféricos y equipos de comunicaciones. Se encuentra disponible y con los recursos libres dedicados exclusivamente a recuperación de

desastres por lo que la disponibilidad de los mismos debe ser inmediata. Tiempo de recuperación se mide en horas.

▲ centro imagen o Tandem: instalaciones duplicadas del centro principal. Sus datos se actualizan en paralelo. Recuperación inmediata

  • Tarjetas de seguridad: dispositivos físicos similares a las tarjetas de crédito y débito y se utilizan como parte del control de acceso a las instalaciones donde residen los SI de una organización. Las tarjetas de seguridad inteligentes llevan incorporados circuitos electrónicos avanzados (tecnología planar) donde se guarda información del empleado (horario de trabajo, niveles de acceso…) y un conjunto de códigos o claves que dependen del número de identificación del empleado y que dificultan la duplicación o suplantación de la tarjeta. Pueden ser de contacto (insertar en alguna ranura de un lector) o mediante etiquetas RFID (el chip se comunica con el lector de tarjetas mediante inducción)
  • Mochilas: combinación de un dispositivo físico de reducidas dimensiones y de un equipo lógico (software).su objetivo es hacer inoperante la copia ilegal de un equipo lógico (software). No evita las copias ilegales, pero sí evitan que esas copias funcionen por la imposibilidad de copiar el dispositivo físico. El dispositivo físico y el software están comunicándose en todo momento.

3. Medidas lógicas:

Tratan de contrarrestar el robo de equipo lógico, robo de datos, interceptación de las líneas de transmisión, virus…

  • Cifrado de datos: es uno de los métodos de protección de datos más fiable, cuyo objetivo es el de hacer ininteligibles los datos a usuarios no autorizados que sean capaces de acceder a ellos. Pueden ser de dos tipos:

▲ Simétricos: cuando la clave de cifrado es la misma que la de descifrado

▲ Asimétricos: cuando ambas claves son distintas.

Los sistemas de cifrado más antiguo hacen uso de una clave privada (normalmente un número) para, mediante un conjunto de transformaciones matemáticas, mantener oculto el significado de determinados datos. Existen varios:

▲ One-time pad: es el más seguro, tiene una clave de cifrado tan grande como el propio mensaje. Resulta absolutamente indescifrable.

▲ DES (Data Encryption Standard): se efectúa insertando bits clave y se ejecutan toda una serie de permutaciones no lineales.

▲ Funciones aleatorias o de hashing: cuando se aplican estas funciones a un archivo, sea cual sea su longitud, se obtiene un número. Esto impide que nadie introduzca modificaciones indeseadas ya que si se hace el número obtenido variaría. Son capaces de resistir los intentos de crear un archivo ficticio que genere el mismo número. Es muy eficaz para detectar la presencia de virus y evitar la modificación no autorizada de un archivo.

▲ Criptografía de clave pública: basada en criptosistemas con claves asimétricas. Los operadores tienen 2 claves, una privada que sólo él

limpiando de virus los que encuentre. Los principales son Norton, Panda, Mcafee, F-secure…

Diferencias entre un plan de seguridad y un plan de contingencias

  • Plan de seguridad (preventivo): conjunto de medidas que minimicen la probabilidad de ocurrencia de un riesgo
  • Plan de contingencias (paliativo): conjunto de sistemas y procedimientos orientados a minimizar las consecuencias de un desastre. Debe indicar qué hay que hacer, quién tiene que hacerlo y cómo tiene que hacerlo.

¿Qué aspectos debe contemplar un plan de contingencias?

  • Acciones a ejecutar en caso de que se produzca un desastre y los responsables de su ejecución.
  • Disponibilidad de un centro de proceso de datos alternativo.
  • Procedimientos alternativos a utilizar durante el desastre.
  • Procedimientos de recuperación.
  • Aprobación por parte de la dirección.
  • Edición y distribución periódica.
  • Procedimientos para ser entrenado, aprobado y actualizado cada 6 meses máximo.

Amenazas y medidas de seguridad en las redes sociales.

Las amenaza más comunes presentes en redes sociales y que pueden afectar a las organizaciones son:

  • Pérdida de tiempo y productividad por parte de los empleados.
  • Infecciones de malware, posibilitando que un mensaje con archivos infectados circule entre los usuarios. (Ejemplo, gusano koobface).
  • Suplantación de identidad digital (creando perfil con denominaciones comerciales reales…)
  • Robo de identidad de los administradores de las redes sociales de la empresa.
  • Ataques a la propia plataforma, explotando agujeros de seguridad.
  • Fuga de información y reputación para la empresa, al compartir los empleados información confidencial de la empresa.

Las medidas de seguridad que intentan evitar la materialización de las anteriores amenazas son:

  • Mantener adecuada política de gestión de contraseñas.
  • Proporcionar buena información y concienciación en seguridad.
  • Realizar un registro proactivo de todos los perfiles relativos a una marca en las principales redes sociales.
  • Implantar planes de contingencia y de actuación en caso de crisis públicas.
  • Utilizar antivirus o herramientas de seguridad de protección contra códigos maliciosos.
  • Definir políticas de seguridad en la organización.

Malware: tipos de virus informáticos

En función de su capacidad de propagación:

  • Virus informático : programa de ordenador que puede infectar otros programas modificándolos para incluir una copia de sí mismo. Tienen la función de propagarse, replicándose, pero algunos contienen además la carga viral (payload) con distintos objetivos (desde una simple broma hasta realizar daños importantes). Existen 2 tipos de virus:

▲ Infectan archivos: Virus de acción directa (en el momento en el que se ejecutan infectan a otros programas) y virus residentes (al ser ejecutados, se instalan en la memoria del ordenador).

▲ Infectan el sector de arranque: virus residentes en la memoria

  • Troyano : programa malicioso que se oculta en el interior de un programa de apariencia inocente. Carecen de rutina propia de propagación y pueden llegar al sistema siendo descargado por otro programa malicioso sin el conocimiento del usuario.
  • Gusanos : programas cuya característica principal es realizar el máximo nº de copias de sí mismos posibles para facilitar su propagación. No infectan otros ficheros y se suelen propagar por correos electrónicos, redes 2P2, mensajería instantánea, etc.

En función de las acciones que realizan:

  • Spyware : Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su consentimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas. Pueden ser instalados en un ordenador mediante un virus o bien puede estar oculto en la instalación de un programa. Se puede considerar a las cookies una forma de spyware.
  • Adware : software que durante su funcionamiento despliega publicidad de distintos productos o servicios. Muestra la publicidad en ventanas emergentes o a través de una barra que aparece en pantalla.
  • Bomba lógica : programa informático que se instala en un ordenador y permanece oculto hasta cumplirse 1 o más condiciones reprogramadas para entonces ejecutar una acción. Una bomba lógica no se reproduce por si sola.
  • Bulo (hoax): mensaje electrónico enviado por un conocido que intenta hacer creer al destinatario algo que es falso, como alertar virus inexistentes, noticias engañosas, etc.
  • Capturador de pulsaciones (keylogger ): subclase de los troyanos. Códigos maliciosos se instalan sin conocimiento del usuario y permanecen en ejecución en el equipo afectado. Registra las pulsaciones efectuadas en el teclado. Sirve para robar información sensible que se introduzca por el teclado (contraseñas…).

En los últimos años han aparecido virus llamados de ingeniería social que persiguen el fraude

a través de internet: phising (intento de obtener información personal mediante la suplantación de la apariencia o el nombre de la entidad afectada, suele difundirse a través de spam) y pharming (redirección de la página web solicitada a otra predeterminada por el atacante para hacerle creer que está en la original y actué dentro de ella con normalidad):

¿Qué son: la LOPD, la LSSICE, la LISI y el ENS?

  • Función diferenciada hay que mantener una separación de responsabilidades que evite conflictos de interés que puedan ir en detrimento de la seguridad. El ENS estipula que las funciones de responsable de la información, responsable del servicio y responsable de la seguridad deben estar separadas.

Obligaciones básicas de los poseedores de datos de carácter personal

  • Notificar a la agencia Española de Protección de Datos (AEPD), la finalidad, la estructura y uso de ficheros, tanto externos (clientes y proveedores) como internos (empleados).
  • Atender las consultas y el ejercicio de los derechos de los afectados reclamantes.
  • Establecer medidas de seguridad para proteger esos datos tratados.

¿Qué es la AEPD y qué funciones tiene?

Es la agencia española de protección de datos. Tiene funciones de carácter registrador, legislativo, inspector, sancionador, judicial y representativo, en amplios ámbitos como registro de ficheros, seguridad de los mismos o reclamación de afectados. Las sanciones de la AEPD son económico-administrativas, por ahora no penales.

Niveles de seguridad según el contenido de los ficheros

  • Básico : todos los ficheros con DPC (datos de carácter personal).
  • Medio : ficheros con datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros.
  • Alto : ficheros con datos de ideología, religión, creencias, origen racial, salud o vida sexual.

Ley de propiedad intelectual, Código penal, Ley de firma electrónica y Ley Sinde-

Wert: generalidades tales como lo que protegen, lo que sancionan o que objetivo

persiguen.

  • Ley de propiedad intelectual: conjunto de derechos que se reconocen al autor sobre la obra o producto de su inteligencia y creatividad (derecho moral del autor y derecho a la explotación de la obra). Esta ley protege todo tipo de creaciones artísticas, literarias o científicas expresadas en cualquier soporte, también es aplicable a programas de ordenador y sitios Web. El autor que posicione sus programas en internet debe decidirse por el tipo de licencia por la que optara:

▲ Copyright: derecho de un autor sobre sus creaciones, le permite decidir cuando son reproducidas y distribuidas.

▲ Copyleft: el autor de un programa informático lo declara de dominio público, cualquiera puede utilizarlo o modificarlo.

  • Código Penal : recoge novedades en relación a los delitos relacionados con internet y otras nuevas tecnologías. Además, cabe la posibilidad de que cualquier persona jurídica, sea cual sea su estructura mercantil o societaria, sea considerada plenamente responsable por los delitos cometidos en nombre o por cuenta de las mismas. Las penas para la empresa incluyen desde multas hasta la disolución, pasando por la suspensión de las actividades por un plazo inferior a 5 años, clausura de locales y establecimientos, inhabilitación para obtener subvenciones y ayudas públicas… Con la nueva reforma se incluyen delitos informáticos como: acciones que perjudiquen el funcionamiento de un

sistema informático ajeno, descubrimiento y revelación de secretos y conducta de personas adultas que traten de abusar de menores de 13 años a través de la red.

  • Firma electrónica: asegurar la identidad del usuario, tanto a la hora de efectuar compras online como en sus relaciones con la administración. Misma validez que firma manuscrita. Proporciona mayor seguridad a las comunicaciones a través del ordenador, al comercio electrónico y en las relaciones del ciudadano con la administración. Se podrán tramitar y obtener documentos como el carnet de identidad, de conducir, pasaporte… sin necesidad de trasladarse. La diferencia con la firma digital radica en que esta última se utiliza para firmas electrónicas basadas en criptografía de clave pública mientras que la otra se utiliza para cualquier tipo de forma electrónica.
  • Ley Sinde-Wert :