UNAPEC

Derecho Aplicado a La Informática

[Seguridad de La Información]

Seguridad informática-Jose Nicolás Luciano -1

Seguridad informática

Introducción
Podemos entender como seguridad un estado de
cualquier sistema (informático o no) que nos indica que
ese sistema está libre de peligro, daño o riesgo. Se
entiende como peligro o daño todo aquello que pueda
afectar su funcionamiento directo o los resultados que
se obtienen del mismo. Para la mayoría de los expertos
el concepto de seguridad en la informática es utópico
porque no existe un sistema 100% seguro.
La seguridad informática es la disciplina que se ocupa
de diseñar las normas, procedimientos, métodos y
técnicas orientados a proveer condiciones seguras y
confiables para el procesamiento de datos en sistemas informáticos.

Principios rectores
Para que un sistema se pueda definir como seguro debe tener estas tres
características:

 Privacidad: busca prevenir el acceso no autorizado ya sea en forma

intencional o no intencional de la información, esto hace a la confidencialidad
de los elementos de información.
 Integridad: se basa en que no se realicen modificaciones por personas no
autorizadas o sí autorizadas a los datos, información o procesos y en que los
datos o información sea consistente tanto interna como externamente.
 Operatividad: es la disponibilidad oportuna de los datos, información o
recursos para el usuario apropiado.

Objetivo
La seguridad informática tiene como objetivo proteger los activos de la información.
Son tres elementos que conforman los activos:
Información: Es el objeto de mayor valor para una organización, el objetivo es el
resguardo de la información, independientemente del lugar en donde se encuentre
registrada, en algún medio electrónico o físico.

Equipos que la soportan: Software, hardware y organización.

Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que

manejan la información.

Seguridad informática-Jose Nicolás Luciano -2

Términos relacionados con la seguridad informática

 Activo: recurso del sistema de información o relacionado con éste, necesario

para que la organización funcione correctamente y alcance los objetivos
propuestos.
 Amenaza: es un evento que pueden desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en sus
activos.
 Impacto: medir la consecuencia al materializarse una amenaza.
 Riesgo: posibilidad de que se produzca un impacto determinado en un
Activo, en un Dominio o en toda la Organización.
 Vulnerabilidad: posibilidad de ocurrencia de la materialización de una
amenaza sobre un Activo.
 Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
 Desastre o Contingencia: interrupción de la capacidad de acceso a
información y procesamiento de la misma a través de computadoras
necesarias para la operación normal de cualquier sistema.

Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se

podrían englobar un mismo concepto, una definición más informal denota la
diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está
ligada a una Amenaza y el Riesgo a un Impacto.

Factores de riesgos

Ambientales, accidentales: lluvias, inundaciones, terremotos, incendios

Tecnológicos:

 Fallas de hardware: el mal funcionamiento de un dispositivo de

almacenamiento (o transmisión) de información.
 Fallas de software: existe software que es conocido por la cantidad de
agujeros de seguridad que introduce o software pirata o sin garantías
 Fallas en el servicio eléctrico: cortes de corriente, bajas y subas de la tensión
eléctrica, etc
 Virus informáticos: Programas maliciosos destinados a perjudicar o a hacer
un uso ilícito de los recursos del sistema. Es instalado (por inatención o
maldad) en el ordenador abriendo una puerta a intrusos o bien modificando
los datos.

Seguridad informática-Jose Nicolás Luciano -3

Humanos:

 El usuario: causa del mayor problema ligado a la seguridad de un sistema

informático por que no le importa, no se da cuenta o a propósito (hurto,
fraude).
 Un intruso: persona que consigue acceder a los datos o programas de los
cuales no tiene acceso permitido (cracker, hacker, etc.).

El ABC de la seguridad informática

1. Antivirus: programa que permite detectar, identificar y eliminar los virus
informáticos.
2. Backup: permite realizar copias de seguridad periódicas de la información
producida por el sistema.
3. Control de acceso: establece las prioridades de acceso al sistema, de los
usuarios autorizados.

Mecanismos de seguridad informática

Existe un viejo dicho en la seguridad informática que dicta: "lo que no está
permitido debe estar prohibido" y ésta debe ser la meta perseguida.

 Preventivos
 Detectivos

 Correctivos

Los medios para conseguirlo son:

 Restringir el acceso (de personas de la organización y de las que no lo son) a

los programas y archivos.
 Asegurar que se utilicen los datos, archivos y programas correctos en/y/por
el procedimiento elegido.

 Asegurar que la información transmitida sea la misma que reciba el

destinatario al cual se ha enviado y que no le llegue a otro.

 Actualizar constantemente las contraseñas de accesos a los sistemas de

cómputo.

Seguridad informática-Jose Nicolás Luciano -4

Política de seguridad

La seguridad informática debe ser estudiada para que no impida el trabajo de los
operadores en lo que les es necesario y que puedan utilizar el sistema informático
con toda confianza. Por eso en lo referente a elaborar una política de seguridad,
conviene:

 Elaborar reglas y procedimientos para cada servicio de la organización.

 Definir las acciones a emprender y elegir las personas a contactar en caso de
detectar una posible intrusión.

 Sensibilizar a los operadores con los problemas ligados con la seguridad de

los sistemas informáticos.

Los derechos de acceso de los operadores deben ser definidos por los responsables
jerárquicos y no por los administradores informáticos, los cuales tienen que
conseguir que los recursos y derechos de acceso sean coherentes con la política de
seguridad definida.

Las amenazas

Una vez que la programación y el funcionamiento de un dispositivo de

almacenamiento (o transmisión) de la información se consideran seguras, todavía
deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar
a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la
única protección posible es la redundancia (en el caso de los datos) y la
descentralización -por ejemplo mediante estructura de redes- (en el caso de las
comunicaciones).

Consideraciones de una red

Los puntos de entrada en la red son generalmente el correo, las páginas web y la
entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.

Mantener al máximo el número de recursos de red sólo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo.

Se pueden centralizar los datos de forma que detectores de virus en modo batch
puedan trabajar durante el tiempo inactivo de las máquinas.

Controlar y monitorizar el acceso a Internet puede detectar, en fases de

recuperación, cómo se ha introducido el virus.

Seguridad informática-Jose Nicolás Luciano -5

Seguridad en Internet

En estos momentos la seguridad informática es un tema de dominio obligado por

cualquier usuario de la Internet, para no permitir que su información sea robada.

Intentar comunicar un secreto en un entorno con millones de testigos potenciales

como Internet es difícil, y la probabilidad de que alguien escuche una conversación
entre dos interlocutores se incrementa conforme lo hace la distancia que las separa.
Dado que Internet es verdaderamente global, ningún secreto de valor debería ser
comunicado a través de ella sin la ayuda de la criptografía.

En el mundo de los negocios, información como números de tarjetas de crédito,

autenticaciones de clientes, correos electrónicos e incluso llamadas telefónicas
acaba siendo enrutada a través de Internet. Ya que gran parte de esta información
corporativa no debe ser escuchada por terceras personas, la necesidad de seguridad
es obvia.

Sin embargo, la Seguridad en Internet no es sólo una preocupación empresarial.

Toda persona tiene derecho a la privacidad y cuando ésta accede a Internet su
necesidad de privacidad no desaparece. La privacidad no es sólo confidencialidad,
sino que también incluye anonimicidad. Lo que leemos, las páginas que visitamos,
las cosas que compramos y la gente a la que hablamos representan información que
a la mayoría de las personas no les gusta dar a conocer.

Elementos de seguridad en Internet

 Gestión de claves (incluyendo negociación de claves y su almacenamiento):

Antes de que el tráfico sea enviado/recibido, cada router/cortafuegos/servidor
(elemento activo de la red) debe ser capaz de verificar la identidad de su
interlocutor.
 Confidencialidad: La información debe ser manipulada de tal forma que
ningún atacante pueda leerla. Este servicio es generalmente prestado gracias
al cifrado de la información mediante claves conocidas sólo por los
interlocutores.
 Imposibilidad de repudio: Ésta es una forma de garantizar que el emisor
de un mensaje no podrá posteriormente negar haberlo enviado, mientras que
el receptor no podrá negar haberlo recibido.
 Integridad: La autenticación valida la integridad del flujo de información
garantizando que no ha sido modificado en el tránsito emisor-receptor.
 Autenticación: Confirma el origen/destino de la información -corrobora que
los interlocutores son quienes dicen ser.
 Autorización: La autorización se da normalmente en un contexto de
autenticación previa. Se trata un mecanismo que permite que el usuario
pueda acceder a servicios o realizar distintas actividades conforme a su
identidad.
Seguridad informática-Jose Nicolás Luciano -6
La serie ISO 27000 proporciona recomendaciones para "establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información".

Estas normas proporcionan un marco reconocido a nivel mundial por una sólida
gestión de seguridad de la información.

El estándar puede ser dividido en las siguientes secciones:

La evaluación de riesgos - un enfoque cuantitativo o cualitativo para determinar

los riesgos de los activos de la organización. El grado de riesgo se basa en el
impacto con el activo y la probabilidad de ocurrencia.

La política de seguridad - declaraciones formales que definen las expectativas de

seguridad de la organización.

La gestión de activos - inventario y clasificación de los activos de información.

La seguridad de los recursos humanos - Aspectos de seguridad para los

empleados de la unión, se mueve dentro o para las personas que salen de una
organización.

La seguridad física y ambiental - sistemas físicos / tangibles utilizados para

proteger los sistemas y datos , tales como sistemas de alarma , guardias, diseño de
oficina , puertas cerradas con llave , teclados , cámaras, etc ..

Control de acceso - restricción de los derechos de acceso a redes, sistemas,

aplicaciones, funciones y datos; mantener la confidencialidad de las credenciales de
acceso y la integridad de los sistemas de control de acceso.

Los sistemas de información de adquisición, desarrollo y mantenimiento - la

construcción de la seguridad en las aplicaciones cuando se diseñan o comprados.

Información de gestión de incidentes de seguridad - la planificación y

responder adecuadamente a las brechas de seguridad de la información.

Las seis partes a la serie 27000 de cada operación con un área diferente de un
Sistema de Gestión de Seguridad de la Información (SGSI). En este documento se
exponen brevemente a cada sección y luego concentrarse en la norma ISO 27001,
la sección que detalla los requisitos para ISMS. Una visión general de lo que la serie
trata se pueden encontrar en la siguiente tabla.

Seguridad informática-Jose Nicolás Luciano -7

ISO / IEC 27001 - Proporciona un modelo para establecer, implementar , operar,
monitorear , revisar , mantener y mejorar un Sistema de Gestión de Seguridad de
la Información ( SGSI).

ISO / IEC 27002 - Proporciona objetivos globales de control de seguridad y

describe los controles de seguridad que se pueden implementar.

ISO / IEC 27003 - Proporciona orientación para la implementación de un Sistema

de Gestión de Seguridad de la Información (SGSI).

SO / IEC 27004 - Proporciona medición de la gestión de seguridad de la

información y la métrica.

ISO / IEC 27005 - Proporciona directrices para la gestión de riesgos de seguridad

de la información.

ISO / IEC 27006 - Proporciona requisitos para entidades que realizan la auditoría
y certificación de sistemas de gestión de seguridad de la información.

Como se puede observar en la tabla anterior, la norma ISO 27001 detalla las
necesidades reales de las empresas para cumplir con la norma ISO 27000.

ISO 27002 se basa en la norma ISO 27001, proporcionando una descripción de los
diversos controles que pueden ser utilizados para cumplir con los requisitos de la
norma ISO 27001.

Seguridad informática-Jose Nicolás Luciano -8

ISO 27003 proporciona detalles sobre la aplicación de la norma, incluyendo la
aprobación del proyecto, el alcanc, el análisis, la evaluación de riesgos y el diseño
ISMS. ISO 27004 describe cómo una organización puede controlar y medir la
seguridad en relación con las normas ISO 27000 con métricas.

ISO 27005 define el enfoque de gestión de riesgos de alto nivel recomendado por la
ISO y la norma ISO 27006 describe los requisitos para las organizaciones que
medirán la norma ISO 27000 para la certificación de
cumplimiento.

Seguridad informática-Jose Nicolás Luciano -9

 Conclusión

La sociedad de la información y nuevas tecnologías de comunicación plantean la

necesidad de mantener la usabilidad y confidencialidad de la información que
soportan los sistemas en las organizaciones; para ello es especialmente importante
elegir e implementar los sistemas y métodos de seguridad más idóneos que
protejan las redes y sistemas ante eventuales amenazas, ya sean presente o
futuras.

Los aspectos de seguridad y control de la información deben ser una prioridad para
las compañías, debido a que las amenazas pueden surgir tanto desde el exterior
como desde el interior de la organización (virus, hackers, empleados, etc.). El plan
de seguridad de la información de una organización debe tratar todas estas
amenazas que con el uso de internet se ven amplificadas, debido a que los
principales ataques a los sistemas y a la información provienen de la red. La alta
gerencia debe decidir el tiempo, dinero y esfuerzo, que hay que invertir para
desarrollar las políticas y controles de seguridad apropiados puesto que cada
organización debe analizar sus necesidades específicas y determinar sus requisitos y
limitaciones en cuanto a recursos y programación.

Seguridad informática-Jose Nicolás Luciano -10