TEMA 11.

LA SEGURIDAD DEL SISTEMA DE INFORMACIN

CONCEPTOS DE LA SEGURIDAD INFORMTICA
INTRODUCCIN
La creciente complejidad de los sistemas informticos ha provocado la aparicin de vulnerabilidades
en los recursos utilizados, que deben minimizarse con las medidas de seguridad oportunas.
Algunas de los aspectos que han contribuido a la mencionada complejidad son:
o La creciente utilizacin de sistemas distribuidos
o La mayor complejidad de los procesos
o l n!mero de usuarios y su ubicacin dispersa
o La proliferacin de intercambio de archivos por correo electrnico
o La utilizacin de "nternet para el comercio electrnico
#na definicin ms bien instrumental de seguridad informtica ser$a %conjunto de t&cnicas y
procedimientos que garantizan tanto el rendimiento como la eficacia de un sistema informtico'.
(tra definicin mas funcional ser$a %propiedad del sistema de informacin que permite que los
usuarios pongan una confianza justificada en la calidad del servicio que les ofrece'.
Los proyectos europeos elaborados en este mbito, coinciden en definir la )eguridad de los )" como el
conjunto de t&cnicas, medidas y procedimientos encaminados a garantizar:
)u disponibilidad o perennidad *sin p&rdidas y en cualquier momento+ que se opone a la
retencin no autorizada
)u integridad o actualidad, autenticidad, e,actitud y completitud, que se opone a la
modificacin no autorizada
)u confidencialidad o accesibilidad slo por los usuarios autorizados, que se oponen a la
divulgacin no autorizada
)u autenticacin, es decir, la caracter$stica de dar y reconocer la autenticidad de ciertas
informaciones del mbito y-o identidad de los actores y-o la autorizacin por parte de los
autorizadores, as$ como la verificacin de esos cuestiones.
Adems de estas caracter$sticas generales, los sistemas de informacin para mantener un nivel
adecuado de seguridad han de cumplir en mayor o menor grado los siguientes requisitos:
RESPONSABILIDAD.
l sistema de seguridad debe ser capaz de asociar positivamente un proceso con su fuente de
autorizacin, de modo que los usuarios sean los responsables de las acciones que realizan.
AUDITABILIDAD.
.odos los sistemas de seguridad deben proporcionar estad$sticas acerca de entradas al sistema, uso de
recursos, las acciones realizadas por cada usuarios, etc.
SERVICIOS DE NO-REPUDIO:
"mpiden que un usuario pueda negar haber recibido un documento electrnico.stos servicios pretenden
cubrir las funcionalidades de una firma manuscrita, pero de forma mucho ms segura.
RECLAMACIN DE ORIGEN.
/onstituye la contrapartida del servicio anterior, en el sentido de que permite probar qui&n es el
creador de un determinado documento.
RECLAMACIN DE PROPIEDAD.
ste servicio permite probar que un determinado documento electnico es de propiedad de un usuario
particular. )e usa en transacciones mercantiles, donde la posesin de un documento concede
determinados derechos a su poseedor.
CERTIFICACIN DE FECHAS.
n las comunicaciones electrnicas este servicio es el equivalente al certificado de fecha y-u hora a
la que se ha realizado o entregado un determinado documento.
l objeto de la seguridad de los )" es mantener la continuidad de los procesos de negocio que
soportan dichos sistemas, intentando minimizar el coste global de la ejecucin de dichos procesos,
as$ como las p&rdidas de los recursos asignados a su funcionamiento.
LA SEGURIDAD INFORMTICA Y SUS COMPONENTES
Los componentes fundamentales de la seguridad son:
LOS ACTIVOS
)on los recursos del )" o relacionados con &ste, necesarios para que la organizacin opere
correctamente y alcance los objetivos propuestos por su direccin. Los activos se podrn agrupar y
jerarquizar en funcin a su composicin y estarn relacionados entre s$ por el riesgo al que estn
e,puestos. Las caracter$sticas a retener de cada activo son: su cdigo, descripcin, precio unitario,
coste de reposicin, tiempo m,imo de carencia, nivel de mantenimiento de la integridad y el nivel de
confidencialidad. Los activos pueden ser f$sicos o lgicos, tangibles o intangibles y se pueden
encuadrar en: las personas, el centro de datos y las instalaciones, los ordenadores centrales, el
soft0are de base, los ordenadores departamentales y personales, y la informtica de usuario final,
incluyendo un posible centro de informacin, la produccin de aplicaciones que se procesan, el
desarrollo de dichas aplicaciones, los datos y las bases de datos, las comunicaciones y la
documentacin.
LAS AMENAZAS
)on los eventos que pueden desencadenar un incidente en la organizacin, produciendo da1os o p&rdidas
inmateriales en sus activos. )e pueden agrupar en clases y los atributos a tener en cuenta son: su
cdigo, nombre, frecuencia *habitualmente subjetiva+. #na clasificacin de amenazas podr$a ser:
- Accidentes: aver$as de hard0are y de soft0are, incendio, e,plosin, suceso natural e,cepcional,
perdida de servicios de agua, gas o electricidad.
- Errores: errores de utilizacin, de e,plotacin, de captura, de concepcin y realizacin, . . .
- Malintenciones: robo, fraude, sabotaje, ataque lgico, . . .
LAS VULNERABILIDADES
)on las debilidades de los activos de la organizacin, las cuales podr$an ser utilizadas por las
amenazas para causar da1o al sistema. La vulnerabilidad est ligada a la organizacin *procedimientos
inadaptados, dejadez, ...+, a los hombre *cansancio, falta de sensibilizacin, ...+, a los equipos,
al entorno *accesibilidad a los locales, escasa proteccin contra desastres, ...+.
LOS RIESGOS
s la probabilidad subjetiva de que se produzca un impacto dado en la organizacin una vez
materializada una amenaza debido a la vulnerabilidad de un activo. l riesgo residual es el riesgo
remanente una vez tenidas en cuenta las salvaguardas a aplicar.
EL IMPACTO
s la medida del da1o producido a la organizacin por un incidente posible. )e centra sobre los
activos y por tanto puede medirse econmicamente.
LAS SALVAGUARDAS
s todo dispositivo, f$sico o lgico, capaz de reducir el riesgo. Las salvaguardas, seg!n su
naturaleza, pueden clasificarse en:
Preventivas: 2rocedimientos y medidas t&cnicas tendentes a impedir que las amenazas se
materialicen. Act!an principalmente sobre la vulnerabilidad, reduciendo por tanto el riesgo.
Protectoras o curativas: 3edidas t&cnicas y organizativas que tienen por objeto limitar las
consecuencias de una amenaza una vez materializada. 4educen el impacto.
LOS ASPECTOS ECONMICOS DE LA SEGURIDAD INFORMTICA
Las salvaguardas y sus implantacin implican un coste. La seguridad de un sistema de informacin debe
ser, por tanto, cuidadosamente planificada y presupuestada, determinndose los niveles aceptables de
seguridad para la organizacin y su coste, as$ como los medios ms idneos para conseguirlos.
)e trata, por ello, de encontrar un punto de equilibrio entre las t&cnicas y procedimientos a emplear
y su coste, frente a los beneficios que a partir de estas medidas se pueden derivar. s necesario
tratar de cuantificar dos tipos de magnitudes:
2or un lado, los da1os, que se pueden ocasionar en el sistema y una estimacin de los costes
derivados de dichos da1os.
2or otro lado, los costes de implantacin y mantenimiento de las medidas apropiadas para su
contencin.
EL ANLISIS Y LA GESTIN DE RIESGOS
l anlisis de riesgos introduce un enfoque riguroso y consecuente para la investigacin de los
factores que contribuyen a los riesgos. n general implica la evaluacin del impacto que una
violacin de la seguridad tendr$a en la empresa. )u objetivo es proporcionar una medida de las
posibles amenazas y vulnerabilidades del sistema de manera que los medios de seguridad puedan se
seleccionados y distribuidos eficazmnente para reducir al m$nimo las posibles p&rdidas.
La gestin de riesgos es un proceso separado que utiliza los resultados del anlisis de riesgos para
seleccionar e implantar las medidas de seguridad adecuadas para controlar los riesgos identificados.
5rente a estos riesgos potenciales analizados se puede:
Aceptar el riesgo, dada en muchos casos su baja posibilidad de ocurrencia.
.ransferir el riesgo, contratando los correspondientes seguros
vitar el riesgo
sto !ltimo conlleva la elaboracin y puesta en marcha de un 2lan de seguridad informtica, cuyas
medidas de carcter preventivo minimicen la probabilidad de ocurrencia de un riesgo.
Los m&todos principales para el anlisis y la gestin de riesgos de un )" son:
o 3A64"., metodolog$a la de Administracin 2!blica spa1ola
o 3A4"(7, m&todo de la Asociacin de empresas aseguradoras francesas
o 3L")A, procedente del entorno militar franc&s
o /4A33, usado preferentemente en la administracin p!blica bratnica
EL PLAN DE CONTINGENCIA
l plan de contingencia es, aparte de una salvaguarda protectora en s$ mismo, un conjunto de sistemas
y procedimientos orientados a minimizar las consecuencias de un desastre y hacer, por tanto, que la
interrupcin del servicio informtico sea la menor posible. 8ebe indicar qu& hay que hacer, qui&n
tiene que hacerlo y cmo tiene que hacerlo.
l plan de contingencia debe contemplar:
Acciones a ejecutar al producirse un desastre y los responsables de su ejecucin, con
nombre, apellidos, tel&fono.
#n centro de proceso de datos alternativo, acordado por escrito o contratado
2rocedimientos alternativos o manuales a utilizar durante el desastre
2rocedimientos de recuperacin
Aprobacin por parte de la direccin
dicin y distribucin peridica *con determinada confidencialidad+
Los procedimientos para ser entrenado, aprobado y actualizado cada seis meses como m,imo
2ara las aplicaciones cr$ticas es necesario estudiar sus necesidades en cuanto a:
/riticidad de las funciones que cumplen
9ard0are necesario
)oft0are
/omunicaciones
8ocumentacin
8ependencia de otras aplicaciones
La disponibilidad de lo anteriormente se1alado debe acompa1arse inevitablemente por los datos
actualizados manejados por las diversas #nidades del (rganismo, por tanto debern e,istir
perfectamente operativos una serie de procedimientos para la obtencin de copias de seguridad de los
datos, y por supuesto de las aplicaciones, especialmente las cr$ticas.
#na vez definidos los elementos anteriores, ya se pueden detallar las tareas a realizar, las
responsabilidades, los medios, etc., para ensayar un hipot&tico caso de desastre o actuar ante un
desastre real, todo ello se plasmar en el plan de contingencias.
/uando el servicio de un ordenador se interrumpe, debido a la ocurrencia del desastre, el primer paso
a realizar es establecer el diagnstico de la causa que la ha provocado y valorar los efectos para
poder decidir el traslado o no al centro alternativo. #na vez tomada la decisin de traslado, se
inicia la preparacin y la recuperacin del servicio en el centro de respaldo hasta que el centro
original est& operativo de nuevo.
)e pueden distinguir los siguientes tipos de centros de respaldo:
SALA BLANCA (COLD SITE)
s un local vac$o con la infraestructura f$sica de un /28 pero sin la estructura de material
informtico. l tiempo de recuperacin en caso de tener que utilizarlo suele ser largo y se mide
habitualmente en semanas.
SALA TEMPLADA (WARM SITE)
,iste la infraestructura informtica pero no est disponible para casos de desastre en todo momento,
sino que habr$a que realizar acciones previas para su disponibilidad. l tiempo de recuperacin se
suele medir en d$as.
SALA CALIENTE (HOT SITE)
s un /28 al completo. l centro se encuentra disponible en todo momento y los recursos dedicados
e,clusivamente a recuperacin de desastres. l tiempo de recuperacin se mide en horas.
CENTRO IMAGEN (TANDEM)
)e trata de un centro que es un duplicado del centro principal. l tiempo de recuperacin es casi
inmediato.
La eleccin de una u otra estrategia debe basarse, principalmente, en la minimizacin del tiempo de
interrupcin del servicio y del coste anual del servicio de respaldo. n funcin a las
caracter$sticas del /28 de la empresa, y atendiendo a los criterios de coste por disponibilidad y por
utilizacin en caso de contingencia, se elegir una u otra alternativa.
OTROS MECANISMOS DE SEGURIDAD
MECANISMOS DE SEGURIDAD ORGANIZATIVOS
L !"#$%&'( #) *"+,) - #") !+"'./&,&.*%") .* ).01+&// &*2"+,3%&'
La pol$tica de seguridad refleja la postura a adoptar por la empresa en relacin a la
confidencialidad, disponibilidad e integridad de los datos, programas, equipos, personal,...
relacionados con los )" de dicha empresa. La asignacin de medios para la seguridad depender de la
mencionada pol$tica.
Algunas caracter$sticas a cumplir son:
9a de ser de adopcin obligatoria por todos los entes relacionados con los )"
2lasmarse en un documento escueto
star apoyada por la 8ireccin
)er gen&rica, no obligando a revisiones constantes
"ncluir los requerimientos m$nimos
)er desarrollada en normas y procedimientos
8ebe ser elaborada por el responsable de la seguridad o la persona que cumpla sus funciones. n la
pol$tica de seguridad se establecern directrices en relacin a:
La adquisicin de tecnolog$as de la informacin
La privacidad en los diferentes niveles del )"
l control de accesos a los activos
l registro de acciones *auditor$a+
La autenticacin para acceder a los activos
l nivel de disponibilidad
La notificacin de los incidentes
2ersonal de soporte
La pol$tica de seguridad se desarrolla en normas tendentes a cumplir con los objetivos de dicha
pol$tica. Las normas sern detalladas posteriormente en procedimientos.
Las normas de seguridad son una mayor e,plicacin de los objetivos reflejados en la pol$tica,
especificando lo que hay que alcanzar sin ahondar en los medios para alcanzarlos. La actualizacin de
las normas suele ser de baja frecuencia y su ocupacin en papel escasa. Las normas deben ser:
7o e,cesivamente detallistas
2ublicadas y estar disponibles para todas las reas de la entidad
Aprobadas por la direccin
"dentificadas, mantenidas, actualizadas...
Los procedimientos de seguridad deben desglosar las normas de seguridad informtica e indicar como
cumplir con &stas. Los procedimientos se agrupan en un manual de procedimientos. l manual de
procedimientos:
s un veh$culo de comunicacin entre la #nidad de )eguridad "nformtica y el resto de
departamentos.
4esuelve dudas que puedan tener los usuarios en cuanto a las normas de seguridad.
)irve para recalcar el apoyo de la Alta 8ireccin al concepto de una seguridad informtica
activa.
s un medio para la formacin del nuevo personal.
Los procedimientos se revisan con una periodicidad m,ima de seis meses para asegurar su e,actitud,
deben ser fciles de leer y entender, fciles de actualizar, concretos y no muy voluminosos.
L U*&// /. S.01+&// I*2"+,3%&' .* # .,!+.)
Los objetivos bsicos de esta unidad son:
/ontrolar el acceso y uso de los recursos informticos de la empresa
8etectar e investigar cualquier anomal$a relacionada con la seguridad e integridad de los
sistemas informticos
Asegurar a la 8ireccin que sus recursos informatizados est&n debidamente protegidos y que
la empresa cumple con cualquier estndar interno o legislacin vigente en seguridad
informtica
l n!mero de personas a asignar a la #nidad depender del n!mero de usuarios, del n!mero de
ordenadores a administrar, de la complejidad del sistema, etc.
MECANISMOS DE SEGURIDAD F4SICOS
stas salvaguardas estn relacionadas con la seguridad contra incendios, acceso de personal no
autorizado, y cualquier otra circunstancia que pudiera interrumpir el servicio: inundacin, aver$a
suministro el&ctrico, fallo el equipo, etc.
SISTEMAS DE ALIMENTACIN ININTERRUMPIDA (SAI)
)on dispositivos el&ctricos y electrnicos que permiten protegerse frente a las anomal$as del
suministro el&ctrico.
,isten dos tipos de )A":
SAI on-line: /aracterizados porque la l$nea principal de almacenamiento pasa por la mquina )A" la
cual suministra la intensidad de corriente necesario para el correcto funcionamiento del equipo
f$sico.
SAI off-line: /aracterizados porque el )A" est conectado a una l$nea alternativa de alimentacin.
/uando el )A" detecta un fallo, la l$nea principal queda sin servicio y entra en funcionamiento la
alternativa.
COPIAS DE SEGURIDAD
#na de las actividades bsicas de la seguridad de los )" es la de realizar copias de la informacin
residente en el sistema en un soporte de almacenamiento barato y fcilmente manejable.
La forma de realizar las copias de seguridad debe estar detallada en un procedimiento operativo de
seguridad, el cual debe definir:
: Los niveles de periodicidad de copias de seguridad, pudiendo efectuarse copias
incrementales o copias totales.
: 2rocedimientos de recuperacin de copias.
: 4egistro de incidencias y recuperaciones que se han efectuado.
: )oporte f$sico de la copia.
: /ontrol del almac&n de copias.
CENTROS DE RESPALDO
/entros alternativo al principal utilizados en caso de acontecer alg!n desastre en este !ltimo.
TAR5ETAS DE SEGURIDAD
Las tarjetas de seguridad son dispositivos f$sicos similares a las habituales tarjetas de cr&dito y
se utilizan como parte del control de acceso a las instalaciones donde residen los )" de una
organizacin.
MOCHILAS
#na mochila es la combinacin de un dispositivo f$sico de reducidas dimensiones y un equipo lgico.
l objetivo de estos dispositivos es hacer inoperante la copia ilegal de un equipo lgico. Las
mochilas no evitan la copia ilegal, pero s$ evitan que esas copias sean funcionales.
MECANISMOS DE SEGURIDAD LGICOS
stas salvaguardas tratan de contrarrestar las siguiente amenazas: robo de equipo lgico, robo de
datos y de informacin, interceptacin de las l$neas de transmisin, sabotaje en la informacin y
virus informticos, manipulacin no autorizada de la entrada de informacin, acceso interno y e,terno
no autorizado a la informacin, agregar datos fraudulentos a registros, etc.
CIFRADO DE DATOS
l cifrado es uno de los m&todos de proteccin de datos mas fiables, cuyo objetivo es el de hacer
ininteligibles los datos a usuarios no autorizados que sean capaces de acceder a ellos. Los m&todos
de cifrado de datos pueden ser:
: )im&tricos: /uando la clave de cifrado es la misma que la de descifrado.
: Asim&tricos: /uando ambas claves no son las mismas.
l sistema de cifrado con clave privada ms seguro es el que se conoce con el nombre de one:time pad,
consistente en una clave de cifrado tan grande como el propio mensaje, para lo que se utiliza un byte
clave para cifrar cada byte del archivo. 8e todos modos, esta t&cnica puede resultar dif$cil de
manejar ya que estas claves tan largas deben transmitirse de forma segura entre las partes
interesadas.
l 8) *8ata ncryption )tandard+ es uno de los sistemas de cifrado, mediante clave privada, mas
sofisticados. l cifrado de datos se efect!a insertando bits clave y a continuacin, se ejecutan toda
una serie de permutaciones no lineales.
#na variante de los sistemas de clave privada la constituyen las funciones aleatorias o de hashing,
seguras desde el punto de vista de la criptograf$a. /uando se aplican estas funciones a un archivo,
sea cual sea su longitud, se obtiene un n!mero. sto impide que nadie introduzca modificaciones
indeseadas en el archivo, ya que en caso afirmativo el n!mero obtenido varar$a. stas funciones
aleatorias tambi&n son capaces de resistir los intentos de crear un archivo ficticio que genere el
mismo n!mero. sta t&cnica resulta muy eficaz para detectar la presencia de virus y evitar la
modificacin no autorizada de un archivo.
La criptograf$a de clave p!blica est basada en criptosistemas con claves asim&tricas. Los operadores
tienen dos claves, una privada que solo &l conoce, y una p!blica, que conocen o pueden conocer todos
los intervinientes en el trfico. /uando el operador A quiere emitir un mensaje aplica al mismo la
clave p!blica de ; y el mensaje as$ cifrado se emite a ;, que al recibir el mensaje le aplica su
clave privada para obtener el mensaje cifrado.
#n tercer interviniente no puede alterar el mensaje enviado por A, ya que si se introduce en la
comunicacin y altera el mensaje cifrado, cuando ; le aplique al mismo su clave privada el mensaje
ser ininteligible.
8entro de los criptosistemas con claves asim&tricas destaca el 4)A.
Las tareas requeridas para encriptar y desencriptar consumen muchos recursos, disminuyendo el
rendimiento de los )" en los que operan.
FIRMA DIGITAL Y CERTIFICACIN
La firma digital es un bloque de caracteres que acompa1a a un documento o fichero acreditando qui&n
es su autor *autenticacin+ y que no ha e,istido ninguna manipulacin posterior de los datos
*integridad+. 2ara firmar un documento digital, su autor utiliza su propia clave secreta *sistema
criptogrfico asim&trico+, a la que solo &l tiene acceso, lo que impide que pueda despu&s negar su
autor$a *no revocacin+. 8e esta forma, el autor queda vinculado al documento de la firma. 2or !ltimo
la validez de dicha firma podr ser comprobada por cualquier persona que disponga de la clave p!blica
del autor.
La firma se realizar$a de la siguiente forma: el soft0are del firmante aplica un algoritmo hash sobre
el te,to a firmar *algoritmo matemtico unidireccional, es decir, lo encriptado no se puede
desencriptar+, obteniendo un e,tracto de longitud fija y absolutamente espec$fico para este mensaje.
#n m$nimo cambio en el mensaje producir$a un e,tracto completamente diferente y por tanto no
corresponder$a con el que originalmente firm el autor. Los algoritmos mas utilizados para esta
funcin son el 38< y el )9A:=. l e,tracto conseguido en el punto anterior se somete a continuacin a
cifrado mediante laclave secreta del autor. l algoritmo mas utilizado en este procedimiento de
encriptacin asim&trica es el 4)A. 8e esta forma obtenemos un e,tracto final cefrado con la clave
privada de autor el cual se a1adir al final del te,to o mensaje para que se pueda verificar la
autor$a e integridad del documento por aquella persona interesada que disponga de la clave p!blica
del autor.
)i todos estos medios de seguridad estn utilizando el procedimiento de encriptacin asim&trico,
habr que garantizar tanto al emisor como al receptor la autenticacin de las partes, es decir, que
&stas son quienes dicen ser, y esto se consigue a trav&s de una autoridad de certificacin,
certificando e identificando a una persona con una determinada clave p!blica. stas autoridades
emiten certificados de claves p!blicas de los usuarios firmando con su clave secreta un documento,
vlido para un per$odo determinado de tiempo, que asocia el nombre distintivo de un usuario con su
clave p!blica.
Los certificados son registros electrnicos que atestiguan que una clave p!blica pertenece a
determinado individuo o entidad. 2ermiten verificar que una clave p!blica pertenece a una determinada
persona, evitando que alguien utilice un clave falsa para suplantar la personalidad de otro.
A nivel de la Administracin 2!blica spa1ola, la 5brica 7acional de 3oneda y .imbre > 4eal /asa de
la 3oneda funciona como certificadora para las relaciones entre ciudadanos y la Administracin y
entre (rganismos de la misma, la que ha dado lugar al proyecto /4).
)eg!n lo anterior, la firma electrnica y sus aplicaciones, nos ofrece dos elementos de valor
a1adido:
?. La integridad del mensaje que permite determinar si el mensaje ha sido alterado
o no.
@. La autenticacin de la persona firmante.
CONTROL DE ACCESOS
Los equipos lgicos deben imponer procedimientos de control sobre personas u otros )" que intenten
acceder a los mismos, ya sea directamente o mediante redes de comunicaciones. Los dispositivos de
control de accesos se basan en una combinacin de:
3ecanismos de identificacin sobre la persona o sistema remoto
3ecanismos de autorizacin, determinando la autoridad de la persona o
sistema remoto para ejecutar cada tipo de accin posible
/omponentes aleatorios, que proporcionan proteccin contra el robo de
claves o la suplantacin de personalidad *incluyendo los mecanismos de rellamada+
.&cnicas de cifrado para protegerse de la modificacin de datos, de la
copia, etc.
REPOSITORIO DE SEGURIDAD
l repositorio de seguridad es una base de datos donde se almacenan los privilegios de acceso de los
usuarios a uno o varios sistemas de informacin. La gestin y los procesos de esta base de datos
deben ser solo accesibles por el administrador de seguridad, siendo recomendable que este informacin
est& altamente protegida, incluso archivada de forma cifrada.
Las principales entidades de esta base de datos son: usuario, perfil de usuario, grupos de usuarios
al que pertenece, palabras clave, sistemas a los que tiene acceso *pantallas, informes, ficheros,
etc.+
ANTIVIRUS
#n antivirus busca programas infectados dentro del ordenador, limpiando de virus los que encuentre.
LA SEGURIDAD EN REDES
La seguridad de la red de comunicaciones implica garantizar el acceso controlado desde el cliente
*peticionario+ al servidor, la integridad en la transmisin de informacin por la red y la
confidencialidad de los datos transmitidos por la misma, en los casos necesarios.
ntre las amenazas de carcter espec$fico que afectan especialmente a las redes de comunicaciones
estn:
Accesos no autorizados desde el e,terior a la red de la empresa.
"nterceptar el canal de comunicaciones, especialmente en caso de LA7As.
2ropagacin de problemas de seguridad de un nodo de la red al resto.
n cuanto a la topolog$a de la red, la que mantiene un mayor nivel de seguridad es la del tipo
estrella, seguida de la de bus, y finalmente la de anillo. 7o obstante, el principal problema con que
se enfrenta la configuracin en estrella, desde un punto de vista de la seguridad f$sica, es la
e,istencia de un punto cr$tico en el nodo centralB la aver$a del controlador central provoca la ca$da
de toda la red.
3edidas importantes para una correcta operatividad de la red de rea local son:
stablecer controles de acceso, como contrase1as, rellamada al domicilio en caso de trabajo
desde casa, criptograf$a, etc.
(bligar a los usuarios de la red a cambiar cada cierto tiempo su clave de acceso.
Limitar el nivel al que podr acceder el usuario para poder utilizar la red.
stablecer un equipo informtico destinado a administrar el sistema, as$ como personas
responsables de la gestin de la red.
2roteccin f$sica de la red contra cone,iones no autorizadas.
/ontrol estricto del censo de ordenadores conectados a la red, con sujecin a las pol$ticas
de seguridad establecidas, bajo pena de descone,in.
stablecer un sistema de copias de seguridad.
stablecer un sistema de alimentacin ininterrumpida.
/uando las redes locales estn conectadas a "nternet, se requieren cortafuegos. Los cortafuegos
ayudan a imponer restricciones a la cantidad y al tipo de comunicacin que pueda tener lugar entre la
red protegida y otras redes.
La mayor$a de los cortafuegos proporcionan funciones de auditor$a que ayudan a la labor de
administracin. l almacenamiento de rastros puede ser centralizado y puede configurarse el sistema
para el env$o automtico de mensajes de alerta bajo condiciones anormales. s importante inspeccionar
regularmente dichas trazas en busca de alguna intrusin o de intentos fallidos.
EL VIRUS INFORMTICO
#n virus informtico es un peque1o programa que ha sido dise1ado de manera que se ejecute sin que el
usuario de de cuenta de ello y se replique en cuantos mas sistemas pueda. n la inmensa mayor$a de
los casos, este trabajo oculto suele conllevar la destruccin de alguna informacin en el ordenador,
siempre que se den unas determinadas circunstancias, como un fecha, un determinado n!mero de
arranques del ordenador, etc. sta destruccin de informacin puede ir desde peque1as p&rdidas de
informacin hasta la p&rdida total del disco.
Los caballos de .roya son programas que permanecen en el sistema llevando a cabo alguna accin a
espaldas del usuario. sta accin no suele se destructiva, sino que suele capturar datos del usuario
para enviarlos a otro sitio, o dejar agujeros de seguridad en los ordenadores en los que se ejecutan.
#n gusano solamente trata de reproducirse a s$ mismo, sin que generalmente llegue a producir da1os en
los sistemas en los que se encuentra. sto aparte del lgico inconveniente de tener un ordenador
saturado, bien por el espacio que puede ocupar el gusano, bien por tendencia ala replicacin, que
puede colapsar el ancho de banda de las l$neas de comunicacin.
M./&") /. .*%+/ /. #") 6&+1)
#nidades de disco. 2ueden contener archivos infectados que al llegar a otros sistemas
realicen nuevas infecciones.
4edes de ordenadores
"nternet. 2or correo electrnico, /hat, Ceb, 5.2, 7e0s.
C#)&2&''&7* /. #") 6&+1)
Dirus residente. )e colocan automticamente en la memoria del ordenador y desde ella esperan
la ejecucin de alg!n programa o la utilizacin de alg!n archivo.
Dirus de Accin 8irecta. Los virus que se pueden englobar en este grupo realizan copias de
s$ mismos en el ordenador que infectan.
Dirus de sobreescritura. )obrescriben en el interior de los archivos atacados, haciendo que
se pierda el contenido de los mismos.
Dirus de ;oot. Atacan a los disquetes y discos duros, haciendo imposible su utilizacin.
Dirus de 3acro. stos virus infectan los archivos de te,to, bases de datos, etc., que
incluyen peque1os programas llamados macros, que permiten realizar algunas acciones de forma
automtica.
Dirus de enlace o 8irectorio. 3odifican las direcciones que permite, a nivel interno,
acceder a cada uno de los archivos e,istentes. l resultado es que posteriormente ser
imposible localizarlos y trabajar con ellos.
C+"*"#"0$ /. #") 6&+1)
Leer la cronolog$a de los virus a partir de la pgina ?EF del libro. n alguna ocasin han aparecido
preguntas sobre esto en e,menes.
LEGISLACIN RELACIONADA CON LA SEGURIDAD DE LOS SI
PROTECCIN DE DATOS DE CARCTER PERSONAL
La L(28, Ley (rgnica =<-GG de 4egulacin del .ratamiento Automatizado de los 8atos de carcter
personal *8/2+, permite cumplir el mandato constitucional del art$culo =H.F de %limita el uso de la
informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos'.
l mbito de aplicacin de la Ley queda definido por aquellos datos de carcter personal que figuren
en ficheros automatizados, referidos tanto al mbito p!blico como al privado.
La L(28 reconoce a las personas f$sicas *afectados+ ciertos derechos de vigilancia sobre sus datos
tratados automticamente por cualquier entidad o persona p!blica, privada o profesional. La Ley
impone a todas &stas tres obligaciones bsicas:
7otificar a la Agencia de 2roteccin de 8atos *A28+, la estructura y uso de ficheros y
datos: e,ternos, por ejemplo de los clientes y proveedores particularesB o internos.
Atender las consultas y el ejercicio de los derechos de los afectados reclamantes.
stablecer medidas de seguridad para proteger informacin.
La Ley considera datos de carcter personal */28+ %toda informacin num&rica, alfab&tica, grfica,
fotogrfica, ac!stica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o
transmisin concerniente a una persona identificada o identificable', planteando como %identificacin
del afectado: cualquier elemento que permita determinar directa o indirectamente la identificacin
f$sica, fisiolgica, ps$quica, econmica, cultural o social de la persona f$sica afectada'. )e
consideran como datos especialmente protegidos los referidos a la %ideolog$a, religin, creencia,
origen racial, salud y vida se,ual'.
n el 4eglamento de medidas de seguridad de los ficheros automatizados que contengas 8/2, recogido
en el 4eal decreto GGF-=GG, de == de Iunio, se establecen las medidas t&cnicas y organizativas que
garantizan la confidencialidad e integridad de la informacin con la finalidad de preservar el honor,
la intimidad personal y familiar y el pleno ejercicio de los derechos personales frente a su
alteracin, p&rdida, tratamiento o acceso no autorizado. Aparte de a los ficheros propiamente dichos
que contengan los 8/2, tambi&n afecta a: centros de tratamiento, locales, equipos, sistemas,
programas y personas que intervengan. )e establecen distintos niveles de seguridad seg!n el contenido
de los mencionados ficheros:
NIVELES DE
SEGUIDAD
E!IGI"LES
"#SI$% .odos los ficheros con 8/2
MEDI%
Los ficheros con datos relativos a la comisin de
infracciones administrativas o penales, 9acienda 2!blica,
servicios financieros.
AL&%
5icheros con datos de ideolog$a, religin, creencias, origen
racial, salud o vida se,ual.
La no adopcin de las medidas necesarias se considera como infraccin grave en la L(28, es decir,
puede llevar aparejada una sancin de hasta JKK.KKKL y adems el 8irector de la A28 podr ordenar la
cesacin de los tratamientos de 8/2 y la cancelacin de los ficheros cuando no se cumplan las medidas
de seguridad previstas en el mencionado 4eglamento.
2ara ver las medidas de seguridad m$nimas e,igidas ver la tabla de la pgina ?EH del libro.
OTRA LEGISLACIN RELACIONADA
L L.- /. P+"!&.// I*%.#.'%1#
La Ley de 2ropiedad "ntelectual de =GGJ tiene una parte dedicada a los programas de ordenador y se
resaltan los siguientes art$culos:
Artculo 96. Objeto de la proteccin.
1. A los efectos de la presente Ley se entender por programa de ordenador toda secuencia de
instrucciones o indicaciones destinadas a ser utilizadas directa o indirectamente en un
sistema informtico para realizar una funcin o una tarea o para obtener un resultado
determinado cual!uiera !ue fuere su forma de e"presin y fijacin.
A los mismos efectos la e"presin programas de ordenador comprender tambi#n su documentacin
preparatoria. La documentacin t#cnica y los manuales de usao de un programa gozarn de la misma
proteccin !ue este $tulo despensa a los programas de ordenador.
Artculo 9%. $itularidad de los derec&os.
1. 'er considerado autor del programa de ordenador la persona o grupo de personas naturales !ue lo
&ayan creado o la persona jurdica !ue sea contemplada como titular de los derec&os de autor en
los casos e"presamente pre(istos por esta Ley.
). *uando se trate de una obra colecti(a tendr la cosideracin de autor salbo pacto en contrario
la persona natural o jurdica !ue la edite y di(ulgue bajo su nombre.
Artculo 1+). ,nfraccin de los derec&os.
A efectos del presente $tulo y sin perjuicio de lo establecido en el artculo 1++ tendrn la
consideracin de infractores de los derec&os de autor !uienes sin autorizacin del titular de los
mismos realicen los actos pre(istos en el artculo 99 y en particular-
a. /uienes pongan en circulacin una o ms copias de un programa de ordenador conociendo o pudiendo
presumir su naturaleza ilegtima.
b. /uienes tengan con fines comerciales una o ms copias de un programa de ordenador conociendo o
pudiendo presumir su naturaleza ilegtima.
c. /uienes pongan en circulacin o tengan con fines comerciales cual!uier instrumento cuyo 0nico
uso sea facilitar la supresin o neutralizacin no autorizadas de cual!uier dispositi(o t#cnico
utilizado para proteger un programa de ordenador.1
E# N1.6" C7/&0" P.*#
l nuevo /digo 2enal contempla diversos delitos relacionados con las tecnolog$as de la informacin y
que atentan contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domocilio:
2Artculo 19%
1. 3l !ue para descubrir los secretos o (ulnerar la intimidad de otro sin su consentimiento se
apodere de papeles cartas mensajes de correo electrnico o cuales!uiera otros documentos o
efectos personales o intercepte sus telecomunicaciones o utilice artificios t#cnicos de escuc&a
transmisin grabacin o reproduccin del sonido o de la imagen o de cual!uier otra se4al de
comunicacin ser castigado con las penas de prisin de uno a cuatro a4os y multa de doce a
(einticuatro meses.
). Las mismas penas se impondrn al !ue sin estar autorizado se apodere utilice o modifi!ue en
perjuicio de tercero datos reser(ados de carcter personal o familiar de otro !ue se &allen
registrados en fic&eros o soportes informticos electrnicos o telemticos o en cual!uier otro
tipo de arc&i(o o registro p0blico o pri(ado. ,guales penas se impondrn a !uien sin estar
autorizado acceda por cual!uier medio a los mismos y a !uien los altere o utilice en perjuicio
del titular de los datos o de un tercero.1
2Artculo )%+
'er castigado con la pena de prisin de seis meses a dos a4os o de multa de seid a (einticuatro
meses !uien con nimo de lucro y en perjuicio de tercero reproduzca plagie distribuya o comuni!ue
p0blicamente en todo o en parte una obra literaria artstica o cientfica o su transformacin
interpretacin o ejecucin artstica fijada en cual!uier tipo de soporte o comunicada a tra(#s de
cual!uier medio sin la autorizacin de los titulares de los correspondientes derec&os de propiedad
intelectual o de sus cesionarios.1
L 2&+, .#.'%+7*&'
La firma electrnica tiene como fines asegurar la identidad del usuario, tanto a la hora de efectuar
compras %on line', como en sus relaciones con la Administracin. .iene la misma validez que la firma
manuscrita e incluso sirve como prueba en juicio. .odo ello apoyado en un certificado digital con un
par de claves asociadas *p!blica-privada+ probablemente incorporadas a una tarjeta inteligente o
dispositivo similar o alternativamente y en otros casos mediante un soft0are que, una vez introducido
en el 2/, y previa introduccin de una clave por el usuario titular de certificado *el signatario de
la firma electrnica+ certificar la identidad del mismo.
Algunas definiciones de la legislacin:
5irma electrnica: conjunto de datos, en forma electrnica, anejos a otros datos
electrnicos o asociados funcionalmente a ellos, utilizados como medio para identificar
formalmente al autor o a los autores del documento que la recoge.
)ignatario: es la persona f$sica que cuenta con un dispositivo de creacin de firma y que
act!a en nombre propio o en el de una persona f$sica o jur$dica a la que representa.
8atos de creacin de la firma: son los datos !nicos, como cdigos o claves criptogrficas
privadas, que el signatario utiliza para crear la firma electrnica.
8ispositivo de creacin de firma: es un programa o un aparato informtico que sirve para
aplicar los datos de creacin de firma.
8atos de verificacin de firma: son los datos, como cdigos o claves criptogrficas
p!blicas, que se utilizan para verificar la firma electrnica.
8ispositivo de verificacin de firma: es un programa o aparato informtico que sirve para
aplicar los datos de verificacin de firma.
/ertificado: es la certificacin electrnica que vincula unos datos de verificacin de firma
a un signatario y confirma su identidad.
2restador de servicios de certificacin: es la persona f$sica o jur$dica que e,pide
certificados, pudiendo prestar, adems, otros servicios en relacin a la firma electrnica.