






Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
La seguridad de sistemas de información (si) y sus componentes funcionales y técnicos. Se abordan los factores que condicionan la seguridad y los tipos de medidas organizativas, físicas y lógicas para garantizar la disponibilidad, integridad, confidencialidad y autenticidad de los si. Además, se discuten los conceptos de análisis de riesgos y gestión de riesgos.
Tipo: Apuntes
1 / 11
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!







Dos tipos de definiciones:
Los proyectos europeos coinciden en definir la seguridad de los SI como el conjunto de técnicas, medidas y procedimientos encaminados a garantizar:
Los activos : son los recursos del SI o relacionados con éste, necesarios para que la organización opere correctamente y alcance los objetivos propuestos por su dirección. Se pueden agrupar y jerarquizar en función de su composición y se relacionan entre sí por el riesgo al que están expuestos. Las características a retener de cada activo son su código, descripción, precio unitario, coste de reposición, tiempo máximo de carencia, nivel de mantenimiento de la integridad y el nivel de confidencialidad. Pueden ser físicos y lógicos, tangibles e intangibles.
Las amenazas : son los eventos que pueden desencadenar un incidente en la organización, produciendo daños o pérdidas inmateriales en sus activos. Se pueden agrupar en clases y los atributos a tener en cuenta son: su código, nombre y frecuencia. Una clasificación de amenazas podría ser: accidentes (avería de hardware y software, explosión…), errores (error de utilización, de explotación…) y malintenciones (robo, fraude, sabotaje…).
La vulnerabilidad : son las debilidades de los activos de la organización. Está ligada a la organización (dejadez…), a los hombres (cansancio…), a los equipos y al entorno (accesibilidad a los locales…).
El impacto : es la medida del daño producido a la organización por un incidente posible. Se centra sobre los activos y por lo tanto puede medirse económicamente.
El riesgo : es la probabilidad subjetiva de que se produzca un impacto dado en la organización una vez materializada una amenaza debido a la vulnerabilidad de un activo. El riesgo residual es el riesgo remanente una vez tenidos en cuenta las salvaguardas a aplicar.
Una salvaguarda : es todo dispositivo, físico o lógico, capaz de reducir el riesgo. Según su naturaleza pueden clasificarse en preventivas (impiden que las amenazas se materialicen) y protectoras o curativas (limitan el impacto una vez materializada una amenaza).
Es un método formal para investigar los riesgos de un SI y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. A su vez, es una salvaguarda preventiva que intenta buscar ordenadamente otras salvaguardas para proteger el SI.
Análisis de riesgos : implica la evaluación del impacto que una violación de la seguridad tendría en la empresa; señala los riesgos existentes identificando las amenazas que afectan al SI y la determinación de la vulnerabilidad del sistema a dichas amenazas. Su objetivo es proporcionar una medida de las posibles amenazas, vulnerabilidades del sistema y evaluación e impactos de manera que los medios de seguridad puedan ser seleccionados y distribuidos eficazmente para reducir al mínimo las posibles pérdidas.
Gestión de riesgos : es un proceso separado que utiliza los resultados del análisis de riesgos para seleccionar e implantar las medidas de seguridad adecuadas. Se puede aceptar el riesgo (por su baja posibilidad de ocurrencia), transferirlo contratando los seguros correspondientes (a veces la información perdida o evitar el riesgo (mediante la elaboración de un plan de seguridad informática).
Los métodos principales para el análisis y gestión del riesgo son: MAGERIT, MARION, MELISA, CRAMM del CCTA, OCTAVE, OSSTMM.
Dependerá de:
La gestión de la seguridad de la información debe realizarse mediante procedimientos sistemáticos, documentados y conocidos dentro de la organización por el personal que lo tiene que aplicar y recogidos dentro de un SGSI (sistema de gestión de la seguridad de la información).
Su objetivo final es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y la tecnología.
▲ Detectores de incendios
▲ (^) Extintores de incendios
▲ Control de acceso físico (video vigilancia, tornos…)
▲ Falsos suelos y falsos techos
▲ Equipos de climatización
▲ SAI on-line: la línea principal de alimentación pasa por la máquina SAI, la cual suministra la intensidad de corriente necesaria para el correcto funcionamiento del equipo físico
▲ SAI off-line: está conectado a una línea alternativa de alimentación. Cuando el SAI detecta el fallo, la línea principal se queda sin servicio y entra en funcionamiento la línea alternativa.
▲ Los niveles de periodicidad de copias de seguridad, pudiendo efectuarse copias incrementales (de la información que varía) o copias totales
▲ Tareas a realizar para la recuperación de copias
▲ (^) Registro de las incidencias y recuperaciones que se han efectuado
▲ Soporte físico de la copia (cd, dvd, disco duro…)
▲ Control del almacenamiento de copias
▲ (^) sala blanca o Cold site: es un local vacío con existencia de la infraestructura física de un CPD pero sin existir la infraestructura de material informático. El tiempo de recuperación se mide en semanas.
▲ sala templada o Warm site: existe la infraestructura informática al completo pero no está disponible para casos de desastre en todo momento sino que habría que realizar acciones previas para su disponiblidad.el tiempo de recuperación se mide en días.
▲ Sala caliente (hot site): centro de datos completo con procesadores, periféricos y equipos de comunicaciones. Se encuentra disponible y con los recursos libres dedicados exclusivamente a recuperación de
desastres por lo que la disponibilidad de los mismos debe ser inmediata. Tiempo de recuperación se mide en horas.
▲ centro imagen o Tandem: instalaciones duplicadas del centro principal. Sus datos se actualizan en paralelo. Recuperación inmediata
Tratan de contrarrestar el robo de equipo lógico, robo de datos, interceptación de las líneas de transmisión, virus…
▲ Simétricos: cuando la clave de cifrado es la misma que la de descifrado
▲ Asimétricos: cuando ambas claves son distintas.
Los sistemas de cifrado más antiguo hacen uso de una clave privada (normalmente un número) para, mediante un conjunto de transformaciones matemáticas, mantener oculto el significado de determinados datos. Existen varios:
▲ One-time pad: es el más seguro, tiene una clave de cifrado tan grande como el propio mensaje. Resulta absolutamente indescifrable.
▲ DES (Data Encryption Standard): se efectúa insertando bits clave y se ejecutan toda una serie de permutaciones no lineales.
▲ Funciones aleatorias o de hashing: cuando se aplican estas funciones a un archivo, sea cual sea su longitud, se obtiene un número. Esto impide que nadie introduzca modificaciones indeseadas ya que si se hace el número obtenido variaría. Son capaces de resistir los intentos de crear un archivo ficticio que genere el mismo número. Es muy eficaz para detectar la presencia de virus y evitar la modificación no autorizada de un archivo.
▲ Criptografía de clave pública: basada en criptosistemas con claves asimétricas. Los operadores tienen 2 claves, una privada que sólo él
limpiando de virus los que encuentre. Los principales son Norton, Panda, Mcafee, F-secure…
Las amenaza más comunes presentes en redes sociales y que pueden afectar a las organizaciones son:
Las medidas de seguridad que intentan evitar la materialización de las anteriores amenazas son:
En función de su capacidad de propagación:
▲ Infectan archivos: Virus de acción directa (en el momento en el que se ejecutan infectan a otros programas) y virus residentes (al ser ejecutados, se instalan en la memoria del ordenador).
▲ Infectan el sector de arranque: virus residentes en la memoria
En función de las acciones que realizan:
a través de internet: phising (intento de obtener información personal mediante la suplantación de la apariencia o el nombre de la entidad afectada, suele difundirse a través de spam) y pharming (redirección de la página web solicitada a otra predeterminada por el atacante para hacerle creer que está en la original y actué dentro de ella con normalidad):
Es la agencia española de protección de datos. Tiene funciones de carácter registrador, legislativo, inspector, sancionador, judicial y representativo, en amplios ámbitos como registro de ficheros, seguridad de los mismos o reclamación de afectados. Las sanciones de la AEPD son económico-administrativas, por ahora no penales.
▲ Copyright: derecho de un autor sobre sus creaciones, le permite decidir cuando son reproducidas y distribuidas.
▲ Copyleft: el autor de un programa informático lo declara de dominio público, cualquiera puede utilizarlo o modificarlo.
sistema informático ajeno, descubrimiento y revelación de secretos y conducta de personas adultas que traten de abusar de menores de 13 años a través de la red.