PDF de programación - Inciación a la seguridad en los Sistemas Informáticos

Inciación a la seguridad en los 
Sistemas Informáticos

José Carlos Collado Machuca
José Carlos Collado Machuca
Manuel Fernández Barcell
Manuel Fernández Barcell
Dpto. de Lenguajes y Sistemas Informáticos
Dpto. de Lenguajes y Sistemas Informáticos

 

 

Propósitos del Tema

Divulgar los conceptos de:

Conceptos sobre Seguridad de la 
información
Conceptos sobre TCP/IP
Funcionamientos de redes
Criptografía
Mecanísmos y Medios técnicos de 
seguridad

Seguridad: definiciones

“Sabemos que es hasta que alguien 
Sabemos que es hasta que alguien 
nos pide que lo definamos” 
nos pide que lo definamos
(Descartes)

¿Qué entendemos por seguridad? 

Real Academia de la Lengua:

SEGURIDAD: Cualidad de seguro
SEGURO: libre y exento de todo peligro, 
daño o riesgo

Definiciones de Seguridad Informática:

 Consejo Superior de Informática

Conjunto de técnicas y procedimientos 

que tienen como misión la protección de 
los bienes informáticos de una 
organización

Bienes informáticos

Hardware
Datos
Programas

Consejo Superior de Informática

Conjunto de medidas encaminadas al 

mantenimiento de la 
confidencialidad,autenticidad, integridad 
y la disponibilidad de los bienes 
informáticos

Definiciones de Seguridad: 

Internet Society” 
“Internet Society

Es un concepto multidimensional
Cuando pensamos en la seguridad nos 
referimos a uno o más de los siguientes 
aspectos:

Autentificación
Control de acceso
Auditoría de actividades
Confidencialidad
Integridad
Disponibilidad
No repudiación

Rfc2828
ftp.isi.edu/in­notes/rfc2828.txt

Autentificación:

Dar y reconocer la autenticidad de ciertas 
informaciones del Dominio y/o la identidad 
de los actores y/o la autorización por parte 
de los autorizadores y la verificación

Que los datos, las personas y programas 
son auténticos
Verificar la identidad

Confidencialidad:

Condición que asegura que la información 
no pueda estar disponible o ser descubierta 
por o para personas, entidades o procesos 
no autorizados

Acceso sólo entes autorizados

Disponibilidad:

Grado en el que un dato está en el lugar, 
momento y forma en que es requerido por 
el usuario autorizado

Los bienes informáticos pueden ser 

utilizado cuándo y cómo lo requieran los 
usuarios autorizados

Integridad + disponibilidad = confiabilidad

Integridad:

Condición de seguridad que garantiza que 
la información es modificada, incluyendo 
su creación y borrado, sólo por personal 
autorizado

Modificación sólo por personal 

autorizado

Control de acceso

Protección de los recursos del sistema 

contra accesos no autorizados

El uso de los recursos del sistema están 
regulados conforme a una política de 
seguridad
Solo es permitido a las entidades 
autorizadas( usuarios, programas, 
procesos, otros sistemas..), de acuerdo a la 
política de seguridad

No repudiación

No poder negar la intervención en una 

operación o comunicación

Auditoría de actividades

Registro cronológico de las actividades 

del sistema que permitan la 
reconstrucción y examen de los eventos 
ocurridos

Registro de eventos

ISO/IEC 17799 la información

 La información es un activo que tiene valor 

para la organización y requiere una protección 
adecuada. 

 La seguridad de la información la protege de 
un amplio elenco de amenazas para asegurar 
la continuidad del negocio, minimizar los 
daños a la organización y maximizar el retorno 
de inversiones y las oportunidades de 
negocios.

ISO/IEC 17799 formas información

 La información adopta diversas formas. 

Puede estar impresa o escrita en papel, 
Almacenada electrónicamente, 
Transmitida por correo o por medios electrónicos, 
Mostrada en filmes o hablada en conversación.. 

 Debería protegerse adecuadamente 

cualquiera que sea la forma que tome o los 
medios por los que se comparta o almacene.

ISO/IEC 17799 Características

 La seguridad de la información se caracteriza 

aquí por la preservación de:

Su confidencialidad, asegurando que solo quien 
está autorizado puede acceder a la información
Su integridad, asegurando que la información y sus 
métodos de procesos son exactos y completos
Su disponibilidad, asegurando que los usuarios 
autorizados tiene acceso a la información y a sus 
activos asociados cuando lo requieran

ISO/IEC 17799 SEGURIDAD

 La seguridad de la información se consigue 

implantando un conjunto adecuado de 
controles, que pueden ser políticas, prácticas, 
procedimientos, estructuras organizativas y 
funciones software.

 Estos controles deberían establecerse para 

asegurar que se cumplen los objetivos 
específicos de seguridad de la organización

Niveles de seguridad

Seguro estaba y se murió
No existe la seguridad total

Existen grados de seguridad acorde con 

el bien a defender 

La política de seguridad siempre es un 
compromiso entre el nivel de  riesgo 
asumido y el coste requerido

Los planes de seguridad

Enfrentamiento con la mentalidad 

mediterránea

 

Improvisación

Planificación

¿Podría decirme qué camino debo tomar? 
Preguntó Alicia; esto depende de adonde 
quieras llegar, contestó el gato

(Alicia en el País de las Maravillas)

ISO: análisis de riesgos

Definiciones

 ACTIVO: Recurso del sistema de información o relacionado con 
éste, necesario para que la organización funcione correctamente 
y alcance los objetivos propuestos por su dirección.

 AMENAZA: Evento que puede desencadenar un incidente en la 

organización, produciendo daños o pérdidas materiales o 
inmateriales en sus activos.

 VULNERABILIDAD: debilidades que pueden permitir que una 

amenaza se materialice

 RIESGO: Posibilidad de que una amenaza se materialice.
 IMPACTO: Consecuencia sobre un activo de la materialización 

de una amenaza.

 CONTROL o SALVAGUARDA: Práctica, procedimiento o 

mecanismo que reduce el nivel de riesgo.

Magerit 2: análisis de riesgo

Magerit: tratamiento

Valoración cuantitativa del riesgo

Modelo PDCA

Ataques Pasivos

Escuchas de las transmisiones.

Para obtener información.

Divulgación del contenido del mensaje:

El intruso se entera del contenido de la 
transmisión.

Análisis del tráfico:

Controlando la frecuencia y la longitud de los 
mensajes, incluso los cifrados, se puede 
adivinar la naturaleza de la conexión.

•Difíciles de detectar
•Se pueden prevenir.

Ataques Activos

Enmascaramiento:

Una entidad pretende ser otra entidad 
diferente.
Repetición.
Modificación de mensajes.
Denegación de un servicio.

•Fácil de detectar
•La detección tiene un efecto disuasivo.
•Difícil de prevenir

Clasificación de las medidas 
seguridad (I)

Medidas técnicas

Seguridad física (externa)

 ASPECTOS:

 De Sistemas
 De red
 Del software 

Se consigue adoptando una serie de medidas 
físicas y administrativas
Aspectos:

 Intrusos físicos (“choris”)
 Agentes físicos externos al sistema

Seguridad lógica (Interna)

 Se consigue adoptando una serie de medidas 

técnicas y administrativas

Clasificación de las medidas 
seguridad (II)
Medidas Organizativas

Normas que determinan funciones como:

Las personas que pueden acceder.
Quién tiene derecho a utilizar el sistema
Horario etc

Clasificación de los usuarios

Administradores
Usuarios
Personas ajenas al sistema
Personal de mantenimiento
Ejecutivos de grado medio

Niveles

Todo el mundo tiene acceso a todo
Dos niveles: privilegiado y normal
Varios niveles de acceso

Medidas organizativas y legales

Todas las normas de “organización”  (NO 
técnicas) necesarias para llevar a cabo el 
plan de seguridad

Medidas legales

Legislación de protección de datos
Normas de seguridad de obligado 
cumplimiento

Metodologías de seguridad

Metodologías de análisis de riesgo
Metodologías de nacionales e 
internacionales de seguridad
Estándares: ISO 17799/UNE 71501

Seguridad física: medidas anti 
intrusos
Medidas anti ­Intrusos sobre equipos, 
ordenadores y redes

Consisten en impedir el acceso físico de 
personas no autorizadas a las instalaciones y 
el equipamiento

Medidas Físicas

Puertas de seguridad, cerraduras, vallas
Vigilancia.
Control de acceso
Alarmas, circuitos cerrados de TV

Seguridad física: anti intrusos

Muchas medidas de seguridad tienen 
comprometida su eficacia si no se impide el 
acceso físico a los equipos

Medidas administrativas
Control de los visitantes

Acompañar al visitante hasta su destino
No entregar llaves

Restricción de acceso a zonas 
determinadas
Uso de tarjetas identificativas

Seguridad física:
Seguridad Externa Agentes físicos

Medidas dirigidas a proteger los sistemas contra 
accidentes, agentes ambientales o físicos como el 
fuego, electricidad, inundación, temperatura, 
humedad, ambiente sin polvo etc...

Medidas contra incendios.
Aire acondicionado.
Doble suelo
Instalación eléctrica

Estabilizadores
SAI´s

Seguridad Externa. Agentes físicos

 Directrices de construcción

Construcción de la sala de ordenadores por encima 
del primer piso
No debajo de conducciones de agua
Calidad de los materiales de construcción

 Consideraciones eléctricas
Suministro del panel principal
Independencia entre circuito ordenadores y otros 
equipos
Equipos de aislamiento eléctrico y SAI
Circuitos de emergencias

Seguridad física: Agentes externos

Medidas organizativas

Plan de contingencia ante estos fenómenos
Ejemplo:

¿Que hacer cuando se va la luz?

Seguridad lógica

 Se consigue adoptando una serie de medidas técnicas 

y administrativas

 Afectan a la configuración de los sistemas operativos
 La implementación dependerá de cada sistema 

operativo:

UNIX
Windows

 Ver documento de recomendaciones de seguridad 

para encontrar medidas concretas

http://www.rediris.es/cert/doc/
Redes inalámbricas

 http://www.rediris.es/cert/doc/reuniones/fs2006/archivo.es.html

 

Seguridad lógica

 ASPECTOS:
De Sistemas

Autentificación

 Políticas de contraseñas
 Políticas de cuentas

Control de acceso
Seguridad en los sistemas de ficheros
Configuración de equipos y servidores
Configuración de servicios (www, FTP, correo