2. Unidad 1. Introducción a la
seguridad informática
3. Análisis de riesgos
4. Control de riesgos
5. Herramientas de análisis y gestión de riesgos
3. 3. Analisis de riesgos
Tener en cuenta todos los elementos que lo componen. Analizar el nivel de
vulnerabilidad de cada uno ante determinadas amenazas. Valorar el
impacto que causaria un ataque sobre todo el sistema
Los elementos de estudio son:
● Activos
● Amenazas
● Riesgos
● Vulnerbilidades
● Ataques
● Impactos
4. 3. Analisis de riesgos. Elementos.
Activos
Recursos que pertenecen al propio sistema de informacion que facilita el
funcionamiento de la empresa y la consecucion de objetivos. Hay que
tener en cuenta la relacion que guardan entre ellos y la influencia que se
ejercen.
Se pueden clasificar en:
● Datos
● Software
● Hardware
● Redes
● Soportes
● Instalaciones
● Personal
● Servicios
5. 3. Analisis de riesgos. Elementos.
Amenazas
Presencia de uno o mas factores de diversa indole que atacarian al
sistema produciendole daños aprovechandose de su nivel de
vulnerabilidad.
Son diferentes tipos de amenazas: los cortes electricos, fallos hardware,
riesgos ambientales, errores intencionados o no de usuarios, entrada de
software malicioso, y el robo, destrucción o modificación de la
informacion.
Se clasifican en cuatro grupos, en funcion del tipo de alteracion:
● De interrupcion
● De interceptacion
● De modificacion
● De fabricacion
Según su origen se clasifican en accidentales e iintencionadas
6. 3. Analisis de riesgos. Elementos.
Riesgos
Posibilidad de que se materialice o no una amenaza
aprovechando una vulnerabilidad.
Ante un riesgo una organización puede optar por tres alternativas:
● Asumirlo sin hacer nada
● Aplicar medidas para disminuirlo o anularlo
● Transferirlo
Vulnerabilidades
Probabilidades que existen de que una amenaza se materialice
contra un activo. No todos los activos son vulnerables a las
mismas amenazas. Datos – accion hackers, instalacion electrica –
cortocircuito, etc.
7. 3. Analisis de riesgos. Elementos.
Ataques
Se ha producido un ataque accidental o deliberado contra el
sistema cuando se ha materializado una amenaza.
En función del impacto causado a los activos atacados, los
ataques se clasifican en:
● Activos (dañan, bloquean, saturan)
● Pasivos (solo acceden sin autorizacion)
Un ataque puede se directo o indirecto.
Impactos
Es el daño causado. Son la consecuencia de la materializacion de
una o mas amenazas, sobre uno o varios activos aprovechando la
vulnerabilidad del sistema.
8. 3. Analisis de riesgos. Proceso.
Para implantar una politica de seguridad es necesario seguir un
esquema logico:
● Hacer inventario y valoracion de los activos.
● Identificar y valorar las amenazas que puedan afectar a la
seguridad de los activos
● Identificar y evaluar las medidas de seguridad existentes
● Identificar y valorar vulnerabilidades de los activos a las
amenazas que les afectan
● Identificar los objetivos de seguridad de la organización
● Determinar sistemas de medicion de riesgos
● Determinar el impacto que produciria un ataque
● Identificar y seleccionar las medidas de proteccion
9. 3. Analisis de riesgos
Actividad 3
libro (pagina 15)
1) La ventana de un centro de calculo en donde se encuentra la mayor parte de los ordenadores y el servidor de una
organización se quedo mal cerrada. Durante una noche de tormenta, la ventana abierta ¿constituye un riesgo, una
amenaza o una vulnerabilidad? Razona tu respuesta.
2) Pon un ejemplo de como un sistema de información podría ser seriamente dañado por la presencia de un factor que se
considera de poca relevancia y que explique de alguna manera que “la cadena siempre se rompe por el eslabón mas
débil”.
3) ¿Que elementos se estudian para hacer un análisis de riesgos?
4) Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cuales de estas propiedades se
verían afectadas por:
• una amenaza de interrupción
• una amenaza de interceptación
• una amenaza de modificación
• una amenaza de fabricación
10. 4. Control de riesgos.
Es posterior a realizar el análisis de riesgos.
Consiste en determinar los servicios necesarios para conseguir un sistema
de información seguro. Para poder dar estos servicios sera necesario dotar
al sistema de los mecanismos correspondientes.
Servicios de seguridad
✗ Integridad
✗ Confidencialidad
✗ Autenticación (o identificacion)
✗ No repudio (irrenunciabilidad)
✗ Control de acceso
11. 4. Control de riesgos.
Mecanismos de seguridad
✗ Preventivos
✗ Detectores
✗ Correctores
Cada mecanismos ofrece al sistema uno o mas servicios de los
especificados antes.
La elección de mecanismos depende de cada sistema de información, de
su función, las posibilidades económicas de la organización y los riesgos a
los que este expuesto el sistema.
12. 4. Control de riesgos.
Mecanismos de seguridad.
Seguridad lógica.
Objetivo: proteger digitalmente la información de manera directa.
● Control de acceso
● Cifrados de datos
● Antivirus
● Cortafuegos
● Firma digital
● Certificados digitales
Las redes inalámbricas necesitan precauciones adicionales para su
protección: SSID, protección mediante claves encriptadas WEP o WPA,
filtrado de direcciones MAC.
13. 4. Control de riesgos.
Mecanismos de seguridad.
Seguridad física
Objetivo: proteger al sistema de peligros físicos y lógicos
● Respaldo de datos
● Dispositivos físicos
Actividad 5
1.Actividad 15 p18
2.Actividad 16 p18
3.Actividad 19 p18
14. 4. Control de riesgos.
Mecanismos de seguridad.
Actividad 6
Aprender visualizando un VÍDEO (parte2)
http://www.youtube.com/watch?feature=player_embedded&v=9FB5zuPWW6k (35
minutos)
Entra en la URL de descarga del software (ver parte1 de esta actividad). Completa la
información de la siguiente tabla.
Busca un anti-rootkit, añade sus características a la tabla anterior.
A continuación descarga todo el software de protección que aparece en la tabla anterior al
escritorio de tu PC. Haz una captura de pantalla que visualice todos los archivos descargados,
e insertala aquí.
15. 4. Control de riesgos.
Enfoque global de la seguridad.
La información es el núcleo de todo el sistema de información
Para proteger sus propiedades de integridad, disponibilidad y
confidencialidad es necesario tener en cuenta a los niveles que la rodean
para dotarlos de mecanismos y servicios de seguridad.
Niveles desde el exterior hasta la información:
● Ubicación física
● Hardware y componentes de red
● Sistema operativo y software
● Información
La conexión de Internet atraviesa los distintos niveles hasta llegar a la
información.
El personal empresa puede actuar en todos los niveles o parte de ellos.
16. 4. Control de riesgos.
Mecanismos de seguridad.
Actividad 7
Utilizar un FORO
http://www.trucoswindows.net/forowindows/seguridad-informatica/
¿Cual es el mejor antyspyware gratuito?
¿Que es el adware? ¿Que es el spyware?
Cual de estos son antispyware:
pest patrol
spy sweeper
spybot search
microsoft spyware
panda spyware
Haz un listado de antivirus online.
Haz un resumen de tipos de malware.
Busca y anota la url de cuatro foros mas sobre seguridad informática.
17. 5. Herramientas de análisis y
gestión de riesgos.
Política de seguridad.
● Recoge las directrices u objetivos de una organización con respecto a la
seguridad de la información
● Forma parte de su política general, ha de ser aprobada por la dirección
● El objetivo principal es concienciar a todo el personal de una organización
con el sistema de información, en la necesidad de conocer que principios
rigen la seguridad de la entidad y cuales son las normas para conseguir
los objetivos de seguridad planificados
● Deberá redactarse de forma que sea comprendida por todo el personal de
la empresa
● No todas las políticas de seguridad son iguales
● Existen algunos estándares por países y por áreas, los más
internacionales son los definidos por la ISO
18. 5. Herramientas de análisis y
gestión de riesgos.
Política de seguridad.
Contendrá los objetivos de seguridad de la empresa englobados en:
● Identificar necesidades, riesgos y evaluar impactos ante un ataque
● Relación de medidas de seguridad para afrontar riesgos de cada activo
● Proporcionar reglas y procedimientos para afrontar los riesgos
● Detectar vulnerabilidades y controlar fallos que se producen en los activos
● Definir un plan de contingencia
19. 5. Herramientas de análisis y
gestión de riesgos.
Plan de contingencia.
Es un instrumento de gestión que contiene las medidas que garanticen la
continuidad del negocio protegiendo al sistema de información de los
peligros que lo amenazan o recuperándolo tras un impacto.
Consta de tres subplanes independientes:
● Plan de respaldo
● Plan de emergencia
● Plan de recuperación
Su elaboración no puede descuidar al personal de la organización, que sera
informado y entrenado para actuar como le haya sido encomendado.
20. 4. Control de riesgos.
Mecanismos de seguridad.
Actividad 8
libro pag. 23 (28, 30, 31)
¿Cual es la orientación principal de un plan de contingencias?
¿En que se basa la recuperación de la información?
Tu jefe te pide que le hagas una buena política de copias de seguridad para que sea
seguida por todos los trabajadores de la empresa. ¿Que debera contemplar?
21. 5. Herramientas de análisis y
gestión de riesgos.
Auditoria.
Es un análisis pormenorizado de un sistema de información que permite
descubrir, identificar y corregir vulnerabilidades en los activos y en los
procesos que se realizan.
Su finalidad verificar que se cumplen los objetivos de la política de
seguridad.
Proporciona una imagen real y actual del estado de seguridad de un
sistema de información.
Puede ser total o parcial.
Puede realizarse por personal de la propia empresa o por una empresa
externa especializada.
22. 5. Herramientas de análisis y
gestión de riesgos.
Auditoria.
Tras el análisis y la identificación de vulnerabilidades, se emite un informe
que contiene:
● Activos y procesos analizados (descripción y características)
● Relaciones y dependencias entre activos
● Relación y evaluación vulnerabilidades detectadas
● Verificación cumplimiento normativa
● Propuesta de medidas preventivas y de corrección
Para evaluar la seguridad se necesitan herramientas:
● Manuales
● Software CAAT
23. 5. Herramientas de análisis y
gestión de riesgos.
Modelos de seguridad.
Es la expresión formal de una política de seguridad. Se utiliza como
directriz para evaluar sistemas de información
Según las funciones u operaciones sobre las que ejerce mayor control se
pueden clasificar en:
● Matriz de acceso (según el sujeto)
● Acceso basado en funciones de control (según la función que tiene el
sujeto)
● Multinivel (según la jerarquización de los datos)
24. 4. Control de riesgos.
Mecanismos de seguridad.
Actividad 9
libro pag. 23 - 24 (32, 33, 34, 35, 36)
Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por
varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,
¿es esto correcto?
En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,
cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en
pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un
taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado?
¿Una misma política de seguridad puede servir a todo tipo de empresas?
¿De que modo debe ser redactada la política de seguridad de una organización?
Define con tus propias palabras que es un plan de contingencias.
25. 4. Control de riesgos.
Mecanismos de seguridad.
Actividad 10
libro pag. 22 - 24 (24, 37, 38, 39)
Investiga que es un test de intrusión.
Investiga en Internet sobre empresas especializadas en auditorias de sistemas de información
(Hispasec, Audisis). Escoge una de estas empresas y contesta:
¿en que fases realiza la auditoria?
¿que tipos de auditoria realiza?
¿ofrece revisiones periódicas del sistema?
Investiga en internet para encontrar el software de auditoria: CaseWare, Wizsoft, Ecora, ACL,
AUDAP. Escoge uno o varios y haz una lista de las operaciones que realiza para llevar a cabo
la auditoria.
Averigua que información tiene wikipedia sobre el modelo de seguridad Bell-LaPadula. Escribe
la definición que hace del modelo.
26. 4. Control de riesgos.
Mecanismos de seguridad.
Actividad 9
libro pag. 23 - 24 (32, 33, 34, 35, 36)
Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por
varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,
¿es esto correcto?
En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,
cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en
pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un
taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado?
¿Una misma política de seguridad puede servir a todo tipo de empresas?
¿De que modo debe ser redactada la política de seguridad de una organización?
Define con tus propias palabras que es un plan de contingencias.
27. 4. Control de riesgos.
Mecanismos de seguridad.
Actividad 9
libro pag. 23 - 24 (32, 33, 34, 35, 36)
Trabajas en una empresa donde ademas de la oficina central, hay una red de oficinas por
varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central,
¿es esto correcto?
En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones,
cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en
pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un
taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado?
¿Una misma política de seguridad puede servir a todo tipo de empresas?
¿De que modo debe ser redactada la política de seguridad de una organización?
Define con tus propias palabras que es un plan de contingencias.
28. Unidad 1. Introducción a la
seguridad informática
En esta unidad has aprendido a:
● Distinguir entre sistema de información y sistema informático
● Comprender que significa seguridad en el concepto amplio y en el
concreto.
● Conocer las propiedades de un sistema seguro
● Entender los conceptos de activo, amenaza, riesgo, vulnerabilidad,
ataque e impacto.
● Entender lo que son servicios, mecanismos y herramientas de
seguridad
● Tener la base necesaria para afrontar el conocimiento de la
seguridad en sistemas informáticos