Tema 1 - Parte 1

TEMA 1:
INTRODUCCIÓN A LA
SEGURIDAD
INFORMÁTICA
BLOQUE I
¿Qué entendemos por
Seguridad Informática?
Contenidos
1.Introducción.
2.Los tres pilares de la seguridad.
3.Modelos conceptuales y dominios.
4.El factor humano.
1. Políticas y procedimientos.
2. Legislación
2
1. Introducción - Definiciones
Seguridad:
Protección de
activos frente a
amenazas
3
• Seguridad de la información: Es el conjunto de
medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnológicos
que permiten resguardar y proteger la
información buscando mantener la
confidencialidad, la disponibilidad e
integridad de la misma.
4 SI, Beltrán y Martínez

Ciberseguridad
o
Seguridad Informática
Seguridad de la información
5
Un activo es un bien tangible o intangible que
posee una empresa o persona natural.
Una amenaza es un hecho potencial (natural o

provocado) que, si llega a suceder, puede
desencadenar un incidente, produciendo un daño
material o inmaterial en algún activo.
6
Podemos definir la Seguridad Informática como:
El conjunto de servicios y mecanismos que
aseguran la integridad y privacidad de la
información que los sistemas manejan.
El conjunto de servicios, mecanismos y políticas
que aseguran que el modo de operación de un
sistema sea seguro.
El que se especificó en la fase de diseño o el que se
configuró en tiempo de administración/uso.
El conjunto de protocolos y mecanismos que
aseguran que la comunicación entre los sistemas
esté libre de intrusos.
7
1. Introducción – Importancia
En una sociedad tecnológica y en red como la

actual la Seguridad Informática afecta
prácticamente a todas las facetas de la vida
cotidiana de personas y organizaciones.

Cada día más dispositivos se conectan a la red, lo

que provoca que la Seguridad Informática esté
prácticamente en todas las ramas de la tecnología.

No olvidemos
que las
comunicaciones
basadas en TCP/IP
van en claro.

La proliferación de nuevos paradigmas de uso de la
tecnología y de modelos de negocio hace que
aparezcan también nuevas amenazas.

Malware = software malicioso, como virus, troyanos, etc


Ejemplo del problema de no dar importancia a la
Seguridad Informática.
•21 Octubre 2016: ataque de denegación de servicio a
Twitter, Spotify, Ebay, Netflix, Amazon, The New York
Times.
•Se usó para el ataque una Botnet de dispositivos de
Internet de las cosas.

Y además existe un “mercado” de

vulnerabilidades y multitud de modelos de negocio
en torno al ciberfraude, el cibercrimen y el
ciberterrorismo.

1. Introducción – Estrategias
Ciclo de la Ciberseguridad
Respuesta Prevención
Detección

Las medidas de
La seguridad absoluta es seguridad deben ser
imposible proporcionales a los
riesgos
Se debe llegar a un
compromiso entre nivel
de seguridad, recursos
disponibles y
funcionalidad/usabilidad

La seguridad informática clásica se centraba en la prevención,

basada casi por completo en la protección del perímetro.

 Hoy el perímetro es difuso, ya no es tan sencillo de proteger
SOA Cloud
Big Data
Mobi
y
BYOD
analítica

Estrategias más apropiadas a los entornos

actuales:
 Mínimo privilegio.
 Mínima superficie de exposición.
 Defensa en profundidad.

¿Qué se debe proteger?
Propiedad
Datos y
intelectual de
comunicaciones
corporaciones y
personales de
administraciones
individuos
públicas
Transacciones B2C,
B2B, B2G, etc.

Pero la Seguridad Informática no tiene que ver

sólo con la información. Como hemos visto con
nuestra definición inicial, tiene que ver con todo
tipo de activos informáticos/tecnológicos e incluso
con intangibles.
Procesos y Sistemas e
Reputación
productividad infraestructuras

Ataques a sistemas de
monitorización y control industrial
basados en Windows y
WinCC/PCS 7 de Siemens

24
25
26
Escándalo en 2014 por hackers que

entraron a robar fotos íntimas de famosos
27
2. Los tres pilares de la
seguridad
Disponibilidad Integridad Confidencialidad

seguridad
La disponibilidad: Siempre que un usuario
autorizado quiera tener acceso o utilizar un
activo, tendrá la posibilidad de hacerlo.
La integridad: Los activos no pueden ser
alterados o modificados por personas no
autorizadas.
La confidencialidad: Este pilar sí que tiene que
ver con la información y se refiere a su privacidad,
sólo deben tener acceso a ella las personas
autorizadas.

seguridad
La Privacidad es la capacidad de
otorgar a los individuos control total
o parcial sobre qué información
relacionada con ellos puede ser
recogida, almacenada o desvelada.
La pérdida de confidencialidad
supone una revelación no
autorizada de información.

seguridad
La pérdida de integridad supone la destrucción o
modificación de información.
31
seguridad
La pérdida de disponibilidad hace imposible acceder
o usar la información cuando se desea.
32
seguridad
En muchos casos se añaden otros tres aspectos
básicos:
Control de acceso: Se trata de prevenir el uso no
autorizado (del tipo que sea) de un activo o
recurso.
No repudio: Se trata de prevenir que un emisor
niegue su participación en una comunicación.
 Trazabilidad: Consiste en crear las herramientas
necesarias para que se pueda trazar todos los
movimientos realizados.

seguridad
¿Cuál de ellos es el más importante? Depende del
contexto.

2. Los tres pilares de la seguridad
Además la perdida de uno de ellos suele implicar la perdida
también, al menos parcialmente, de los otros. Por ejemplo:

3. Modelos conceptuales y
dominios
La Seguridad Informática es un campo cada vez
más amplio que involucra a diferentes niveles de
una estructura TIC:
Servicios y aplicaciones
Bases de datos y repositorios
Comunicaciones
Arquitectura hardware y SO
dominios
Por este motivo suelen proponerse modelos
conceptuales que tengan en cuenta diferentes
dominios.
Cada uno de ellos se estudia por separado para
analizar los riesgos, las amenazas, las
vulnerabilidades, las contramedidas, etc.
Existen modelos horizontales y verticales
(sectoriales) que abordan el problema de manera
más o menos general.
A veces se asocian a metodologías y herramientas
específicas.
dominios
Modelo de los siete dominios

4. El factor humano:
Políticas y procedimientos
El componente más débil para la Seguridad de
cualquier infraestructura TIC en la actualidad
suele ser el factor humano.
Estefactor suele implicar los mayores riesgos y
amenazas.
Como veremos, los atacantes maliciosos externos
no siempre son la causa de los peores problemas
de seguridad.
En muchos casos basta con usuario interno
descuidado o mal formado.

Usted puede tener la mejor tecnología,
firewalls, sistemas de detección de
ataques, dispositivos biométricos. Lo único
que se necesita es una llamada a un
empleado desprevenido y acceden al
sistema sin más. Tienen todo en sus
manos".
Kevin Mitnick

Edward Snowden, consultor tecnológico estadounidense, informante, antiguo
empleado de la CIA y de la NSA. En 2013 hizo públicos documentos clasificados
como alto secreto sobre varios programas de la NSA, incluyendo los programas de
vigilancia masiva PRISM y XKeyscore.
Bradley Manning, exsoldado y analista de inteligencia del ejército de Estados

Unidos. En 2010 filtró a Wikileaks miles de documentos clasificados de las
guerras de Afganistan e Irak, incluyendo cables diplomáticos de embajadas
estadounidenses y el vídeo del ejército conocido como “Collateral murder”.
Hervé Falciani, ingeniero de sistemas italo-francés que trabajó en reforzar la

seguridad de la filial suiza del banco HSBC entre 2001 y 2008. En ese periodo logró
sustraer información de hasta 130.000 evasores fiscales ( “lista Falciani”) y que es
utilizada por la justicia de varios países para luchar contra el fraude fiscal.

Otras veces somos nosotros los que por
descuido…
En junio de 2015 el ejército de los Estados Unidos
bombardeó un cuartel general del Estado Islámico que
fue localizado gracias a la publicación de un “selfie” de
uno de los miembros de dicha organización.
iknowwhereyourcatlives.com localiza las viviendas de
miles de gatos (y por tanto de sus dueños) en el mundo
gracias a los metadatos de geolocalización de las
fotografías que sus dueños publican en Internet.
Otras veces somos nosotros los que por
descuido…
En 2005 se detuvo al asesino en serie de Wichita
conocido como BTK que asesinó a 10 personas entre
1974 y 1991. Para su arresto fue fundamental la
información recuperada de los metadatos de un
documento en Word que estaba en un disquete que el
propio asesino envió a una cadena de televisión y que no
había borrado de forma segura.
 Estos descuidos no sólo ocurren en las
organizaciones, también en la vida privada.
Ejemplo: Phishing (correo) con un link a un formulario donde nos
solicitan datos de login
 Estos descuidos no sólo ocurren en las
organizaciones, también en la vida privada.
Ejemplo: Correo supuestamente
procedente de una entidad o
persona confiable que nos induce
descargar un archivo que se ejecuta
y cifra todos los archivos y carpetas
del disco (ransomware)
Casi todos los ciberataques aprovechan en algún
momento el factor humano, sobre todo en las
primeras fases del ataque para recoger información
sobre el objetivo o para lograr acceder o instalar
algún malware o troyano.
 Una vez dentro, el ataque prosigue hasta que es
detectado, y normalmente pasan años hasta que
esto ocurre.
Las empresas y administraciones necesitan cada
vez más un CSO (Chief Security Officer) o un CISO
(Chief Information Security Officer).
Una de las responsabilidades del
departamento/área que depende directamente de
esta persona suele ser definir un entorno de
políticas y procedimientos que intenten gestionar
el factor humano.
No se puede descuidar este aspecto.
Gran importancia de la formación y
concienciación dentro de los actuales Planes
Directores de Seguridad.
• Director Ejecutivo de la Organización
• Director Ejecutivo de Información

• Director Ejecutivo de Seguridad
• Director Ejecutivo de Tecnología

• Director de seguridad de la información


La seguridad por oscuridad o por ocultación es un
controvertido principio de ingeniería de la
seguridad, que intenta utilizar el secreto (de
diseño, de implementación, etc.) para garantizar
la seguridad.
Ejemplos:
Mantener el secreto del código fuente del
software.
Mantener el secreto de algoritmos y protocolos
utilizados.
Adopción de políticas de no revelación pública de
la información sobre50vulnerabilidades.
SI, Beltrán y Martínez
La seguridad por oscuridad o por ocultación es un
controvertido principio de ingeniería de la
seguridad, que intenta utilizar el secreto (de
diseño, de implementación, etc.) para garantizar
la seguridad.
Ejemplos:
Mantener el secreto del código fuente del
software.
Mantener el secreto de algoritmos y protocolos
utilizados.
Adopción de políticas de no revelación pública de
la información sobre51vulnerabilidades.
SI, Beltrán y Martínez
La seguridad Tampoco por Deben

por oscuridad prohibiciones definirse
no funciona ni legislación políticas

 Para asegurar que se aplican los procedimientos
apropiados para mantener la seguridad, las
organizaciones deben establecer normativas
internas que definan la obligaciones de sus
integrantes.

 El CISO debe:
Implementar:
 El Sistema de Gestión de la Seguridad de la
Información (SGSI), pudiendo seguir estándares como
el ISO/IEC 27001:2005.
El Plan Director de Seguridad
Definir:
Las obligaciones y buenas prácticas de seguridad
que deberán cumplir los trabajadores de la
organización así como terceros que colaboran con
ésta, es decir, las políticas de seguridad.

 Un Sistema de Gestión de la Seguridad de la
Información es un marco de trabajo compuesto de
documentación, personas y controles en un
proceso constante de mejora continua cuyo
objetivo es la preservación de la confidencialidad,
integridad y disponibilidad de la información a
través de la implantación, seguimiento, auditoría
y mejora de controles.

El Plan Director de Seguridad consiste en “la
definición y priorización de un conjunto de
proyectos en materia de seguridad de la
información dirigido a reducir los riesgos a los
que está expuesta la organización hasta unos
niveles aceptables”.


Generalmente se definen varios niveles de
normas, con distinto grado de detalle y distinto
grado de aspectos técnicos.
 Cada organización puede utilizar distinto número
y denominación para estos niveles.

Política de Seguridad (RFC 2196): Declaración
formal de las reglas que las personas que tienen
acceso a la tecnología e información de una
organización deben seguir, con el principal objetivo
de informar a esos usuarios, empleados y
gestores de sus obligaciones para proteger los
activos de la organización.

Política
Política 1
N
Bien
documentadas
Estándares Estándares
Procedimientos Procedimientos
BIEN
COMUNICADAS
Guías y mejores Guías y mejores

prácticas prácticas

Política: Enunciado corto que se aplica a toda la
organización y que proporciona una línea de acción.
 Establecida por la alta dirección de la
empresa.
 Suele definir los objetivos, sin plantear
soluciones específicas y sin entrar en detalles
técnicos.
 Corta: Una o dos frases
Ejemplo (real): “Se evaluará periódicamente a los
proveedores de seguridad durante el desempeño de su
contrato, con la finalidad de identificar puntos de
mejora”.
Estándares: Traducción de estas políticas a
soluciones técnicas específicas de uso de HW y SW.
Ejemplo: “Se instalará en todos ,los ordenadores de la
organización el antivirus XXX”.
Procedimientos: Instrucciones concretas acerca
de cómo cumplir las políticas teniendo en cuenta
los estándares. Suelen definir planes de
instalación, testeo, administración, configuración,
etc.

Guías y mejores prácticas: Completan a los
procedimientos con sugerencias que no son de
obligado cumplimiento pero que pueden mejorar el
nivel de cumplimiento de objetivos, facilitar el
trabajo de administradores y usuarios, etc.
Ejemplo: Guía de cómo construir buenas contraseñas.

Ejemplos de políticas típicas:
Acceptable use policy (AUP)

lDefine lo que la organización permite y no permite hacer a
los empleados con los activos que le pertenecen (User
Domain)
Security awareness policy
lEspecifica cómo se asegura que el personal tiene la
conciencia necesaria acerca de SI (User Domain)
Asset classification policy

lDefine cómo se realiza el inventario y clasificación de los
activos de la organización en los siete dominios en función
de su criticidad para el funcionamiento de la organización
Por muy buena que sea una política de seguridad no
sirve de nada:
•Si no se comunica al personal la existencia de la política de
seguridad y en qué consiste.
•Si no se forma al personal.
•Si una vez formado, no se hacen repasos cada X tiempo o si no
se forma a los trabajadores cuando se cambia, actualiza o se
modifica algún aspecto de la política de seguridad.
•Si no se hacen pruebas cada X tiempo para ver que el personal
sabe lo que tiene que hacer en cada caso. (Auditorias).
•Si no se revisa y actualiza periódicamente.
•Si se detectan problemas, vulnerabilidades o fallas y no se
corrigen.

Esenciales son las políticas
y procedimientos que
garantizan el cumplimiento
de las normativas y
legislación relativas a la
seguridad y a los delitos
informáticos

Tema 1 - Parte 1

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Tema 1 - Parte 1

Caricato da

Copyright:

Formati disponibili

TEMA 1:

4 SI, Beltrán y Martínez

Una amenaza es un hecho potencial (natural o

En una sociedad tecnológica y en red como la

8 SI, Beltrán y Martínez

Cada día más dispositivos se conectan a la red, lo

9 SI, Beltrán y Martínez

10 SI, Beltrán y Martínez

11 SI, Beltrán y Martínez

Malware = software malicioso, como virus, troyanos, etc

13 SI, Beltrán y Martínez

14 SI, Beltrán y Martínez

Y además existe un “mercado” de

15 SI, Beltrán y Martínez

16 SI, Beltrán y Martínez

17 SI, Beltrán y Martínez

La seguridad informática clásica se centraba en la prevención,

18 SI, Beltrán y Martínez

 Hoy el perímetro es difuso, ya no es tan sencillo de proteger

19 SI, Beltrán y Martínez

Estrategias más apropiadas a los entornos

20 SI, Beltrán y Martínez

¿Qué se debe proteger?

21 SI, Beltrán y Martínez

Pero la Seguridad Informática no tiene que ver

22 SI, Beltrán y Martínez

23 SI, Beltrán y Martínez

Escándalo en 2014 por hackers que

Disponibilidad Integridad Confidencialidad

28 SI, Beltrán y Martínez

29 SI, Beltrán y Martínez

30 SI, Beltrán y Martínez

33 SI, Beltrán y Martínez

34 SI, Beltrán y Martínez

35 SI, Beltrán y Martínez

Bases de datos y repositorios

38 SI, Beltrán y Martínez

39 SI, Beltrán y Martínez

40 SI, Beltrán y Martínez

Bradley Manning, exsoldado y analista de inteligencia del ejército de Estados

Hervé Falciani, ingeniero de sistemas italo-francés que trabajó en reforzar la

41 SI, Beltrán y Martínez

• Director Ejecutivo de Información

• Director Ejecutivo de Tecnología

48 SI, Beltrán y Martínez

49 SI, Beltrán y Martínez

La seguridad Tampoco por Deben

52 SI, Beltrán y Martínez

53 SI, Beltrán y Martínez

54 SI, Beltrán y Martínez

55 SI, Beltrán y Martínez

56 SI, Beltrán y Martínez

57 SI, Beltrán y Martínez

58 SI, Beltrán y Martínez

59 SI, Beltrán y Martínez

Guías y mejores Guías y mejores

60 SI, Beltrán y Martínez

62 SI, Beltrán y Martínez

63 SI, Beltrán y Martínez

Acceptable use policy (AUP)

Asset classification policy

65 SI, Beltrán y Martínez

Potrebbero piacerti anche