TEMA 1. PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA.

Tema 1. Principios de la seguridad informática
La seguridad informática se puede definir como una serie de procesos y medidas que impidan que usuarios tanto internos, como externos, entren a partes del sistema en las que no deberían estar; esto aumenta la probabilidad de que no se cometan errores(disminución del rendimiento, entrada de virus, confidencialidad, etc.) por falta de formación o ataques de usuarios externos a el sistema a proteger.
Hay una serie de aspectos a cumplir en cuanto a seguridad informática:
– Cumplimiento de las regulalizaciones legales aplicables a cada sector
–  Control en el acceso a los servicios ofrecidos, y la información guardada por un sistema informático.
– Control en el acceso y utilización de ficheros protegidos por la ley,
– Identificación de los autores de la información o de los mensajes
– Registro del uso de los servicios de un sistema informático.
Aquí un gráfico de una pirámide:

Por su parte la norma ISO 7498 define la seguridad de la informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos.
La seguridad de un sistema informático depende de varios factores:

1. La sensibilidad de los directivos y responsables de la organización
2. Los conocimientos que tengan los responsables del sistema es un factor importante ya que esto impide que si hay algún fallo se sepa donde esta, o por donde se puedan meter o cometer un error.
3. Los usuarios deberán tener una buena formación sobre el sistema para evitar cometer errores fatales.
4. La correcta instalación, configuración y mantenimiento de equipos.
5. La limitación y asignación de los permisos de usuarios, dando a los usuarios los mínimos privilegios posibles.
6. Mantenernos al día con el hardware y software según indicaciones del fabricante.
7. Contemplar no solo la seguridad frente a las amenazas del exterior sino también las amenazas procedentes del interior(usuarios sin conocimiento, por eso el punto 3 es tan importante). ”Principio de defensa en profundidad”.
8. La seguridad deberá adaptarse a las necesidades de la empresa y no deberá quedarse estancada en un modus operandi. 

Principio de defensa en profundidad Consiste en el diseño e implantación de varios niveles de seguridad dentro del sistema informático de una organización.

Seguridad Perimetral: es asegurar el acceso a todos nuestros recursos informáticos.En una empresa se pondria en funcionamiento con elementos como por ejemplo cámaras seguras, o perímetros vigilados.
Separación de Redes: consiste en segmentar la red de la empresa, para reducir el riesgo de infección y propagación de un virus. En una empresa se podria aplicar con la separacion de la red del servicio tecnico y la de usuarios basicos de la empresa o directivos de la misma.
Configuracion Robusta de Equipos: consiste en la preparacion de equipos con la seguridad necesaria para la finalidad que tengan. En una empresa lo aplicariamos con la configuracion de un Firewall y/o de un antivirus, ademas de auditorias y otros elementos.
Gestion de Usuarios: se trata de otorgar el minimo y justo privilegio a los usuarios en funcion del puesto y el cargo que desempeña. En la empresa lo aplicariamos con la otrogación de minimos privilegios.
Encriptacion de Datos Sensibles: los datos constituyen el activo más preciado de una organización: información empresarial confidencial, información privada de clientes, información financiera y económica, y aquella información almacenada en diferentes medios locales o externos que permiten la operación y la toma de decisiones en la organización. La pérdida, daño, o robo de información puede representar la no capacidad de operar de la organización, o exposición a demandas judiciales de los clientes. En la empresa lo aplicariamos con el uso de un software de encriptación que se haya en un servidor propio de la empresa.

Objetivos de la seguridad informáticaPodemos destacar cuatro:

1. Minimizar y gestionar los riesgos, y detectar los posibles problemas y amenazas.
2. Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.
3. Limitar las pérdidas y conseguir la adecuada recuperación del sistema, en caso de un accidente de seguridad. (La perdida no tiene por que ser tan solo de datos, también puede implicar una perdida monetaria o de tiempo).
4. Cumplir con el marco legal y los requisitos impuestos por las leyes.

Para cumplir estos objetivos se deben de contemplar 4 planes de actuación:

1. Plano técnico (tanto a nivel físico como lógico).
2. Plano legal (Lo que obliguen las leyes)
3. Plano humano (Sensibilización y formación de empleados definiendo funciones y obligaciones del personal)
4. Plano organizativo (definición e implantación de políticas de seguridad: planes, normas, procedimientos, y buenas prácticas y actuación).

  

Servicios de seguridad de la información

• Confidencialidad: Este servicio garantiza que solo el destinatario recibirá y leerá, solo el el mensaje enviado.
• Autenticación: Garantizará que el usuario que envía el mensaje es el verdadero y no un desconocido.
• Integridad: Se encarga de garantizar que el mensaje o fichero no ha sido modificado durante su transmisión
• No repudiación: Esto garantiza que el mensaje será enviado y recibido de manera que en un futuro no se pueda negar la llegada del mensaje al destinatario.
• • Disponibilidad: La disponibilidad del sistema informático es una cuestión de especial importancia, ya que el sistema deber de ser robusto para garantizar su correcto funcionamiento y puede estar a disposición de los usuarios. Mecanismos para solucionar este problema
  • Autorización: este servicio pretende controlar el acceso de los usuarios. ACL
  • Auditabilidad o también denominado trazabilidad: Permite registrar y monitorizar la utilización de los distintos recursos del sistema
  • Reclamacion de origen: Se permite probar quien es el creador de un determinado mensaje o documento.
  • Reclamación de propiedad: este servicio permite probar que un determinado documento con contenido digital está protegido por derechos de autor.
  • Anonimato en el uso de los servicios: También aveces es conveniente garantizar el anonimato de los usuarios que acceden a los recursos.
  • Protección a la replica:
  • Confirmación de la prestación de un servicio:
  • Referencia temporal
  • Certificación mediante 3º de confianza
  • Gestión de la seguridad de la información: Podemos definir el sistema de seguridad de la información SGSI son sus siglas como aquella parte del sistema general que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de seguridad de la info en una organización
  • PDCA: Plan (selección y definición de medidas y procedimientos), Do (implantación de medidas y procedimientos), Check (Comprobación y verificación de las medidas implantadas), Act (Actuación para corregir las deficiencias detectadas).

 

• Personas: sensibilización e información, obligaciones y responsabilidad del personal, control y supervisión, y colectivos a considerar.
• Legislación: Cumplimiento y adaptación a la legislación vigente.
• Tecnología: Selección, instalación, configuración y actualización de hardware y software; encriptación; estandarización del producto
• Organización: Politicas, normas y procedimientos; Planes de contingencia y respuesta a incidentes; relaciones con terceros
  • Niveles de madurez en la gestión de la seguridad de la información 
  • 1º etapa Las medidas basicas que requieren las buenas gestiones
    Implantacion de medidas básicas de seguridad:
    
    • De sentido común(copia de seguridad, control de acceso)
    2º Etapa En la segunda etapa se debran aplicar las medidas de seguridad que el gobierno contempla en la lesgislacion como obligatorios.
    Cumplimiento de la legislación vigente
    3º etapa
    Gestión global de la seguridad de la información
    4º etapa
    Se deberá ceritificar que se esta ahciendo una buena gestion d ela seguridad y que se estan cumpliendo todos los requisitos.
    Certificación de la gestión de la seguridad.