Adopcion de pautas de seguridad informatica. Caso practico Nate stone (00) En la empresa BK Sistemas Informaticos, sus propietarios Maria y Félix estén decididos a apostar fuerte por la seguridad de todos sus sistemas. Esto ha sido debido a que un antiguo empleado se ha llevado mucha informacion confidencial de la empresa. Por tal motivo, le han pedido a los miembros del departamento de informatica Juan, Vindio y Laro que se pongan al dia de todos los temas relacionados con delitos _ informaticos, __hackers, criptografia, acceso remoto seguro, malware, alta disponibilidad y cosas parecidas. Los tres estén encantados ya que consideran que hay mucho futuro para toda la gente que disponga de conocimientos relacionados con ciberseguridad, Para no perder el tiempo se ha comprado algunos libros, algunos cursos online y ha decidido aceptar el reto, siendo muy conscientes de la gran responsabilidad que tienen entre sus manos. El primer paso sera adquirir los conocimientos basicos sobre seguridad y adoptar las pautas de seguridad basicas para poner el sistema en funcionamiento. En esta unidad de trabajo estudiards los conceptos basicos sobre seguridad informatica. La unidad comienza tratando los conceptos mas comunes que definen a un sistema seguro. En los puntos siguientes aprenderas a identificar las vulnerabilidades de un sistema informatico asi como las principales amenazas que tienen. El tema sigue analizando las diferentes medidas de seguridad tanto légicas como fisicas que se pueden emplear para subsanar las deficiencias de seguridad. La unidad concluye tratando el concepto de andlisis forense y explica brevemente alguna herramienta utilizada. Maistro de Eucaciny Formacion ProfMateriales formativos de FP Online propiedad del Mi Educacién y Formacién Profesional. Aviso Legal1.- Fiabilidad, confidencialidad, integridad y disponibilidad. Caso practico Tras las primeras lecturas de libros y Ia realizacién de los primeros cursos, Juan informa a sus compafieros de departamento que la clave de todo sistema seguro es lograr la fiabilidad, confidencialidad, integridad y disponibilidad de todos los elementos de un sistema. —Sé mas 0 menos lo que significan esos téminos Voy a ver cudl es su significado para un sistema informético —dice Vindio. Laro tratara de comprender qué es un sistema seguro, analizando los términos indicados por Juan. Para ello comenzara con el diccionario. sonny Gotan CoB —iEs hora de volver a la biblioteca! jEmpezamos a estudiar otra vez! Un sistema de informacién se define como seguro, segtin la regia _1SQ 27002, si cumple con los elementos basicos de la seguridad informatica: Fiabilidad Confidencialidad Integridad. Disponibilidad AKKK Las definiciones propuestas por la Real Academia de la Lengua para estas palabras son: Fiabilidad: "Cualidad de ser fiable”. “Probabilidad de buen funcionamiento de algo” Confidencialidad: “Cualidad de confidencial’. “Que se hace o se dice en confianza o con seguridad reciproca entre dos o mas personas” Integridad: “Cualidad de integro”. “Que no carece de ninguna de sus partes’ Disponibilidad: “Cualidad 0 condicién de disponible”. “Que se puede disponer libremente de ella o que esta lista para usarse o utilizarse”Cour) ce ‘Andis Ruble dt Ri Etaboracnp omino pie) Extrapolando estas definiciones a un sistema de informacién, se puede decir que un sistema es fiable si funciona correctamente, es decir, realiza las funciones para las que fue disefiado, es confidencial si la informacién es accesible solamente para las personas autorizadas, integro si el contenido de la informacién transmitida no se altera 0 se altera solamente por personal autorizado, y esta ponible si el sistema funciona y si los usuarios tienen acceso a todos los componentes del sistema, aunque sea con diferentes niveles de seguridad Otras cualidades que debe cumplir un sistema seguro son garantizar la autenticacién y el no repudio. La autenticacién es una cualidad mediante la cual es posible verificar que un documento ha sido elaborado 0 pertenece a quien el documento dice. En cambio, el no repudio es una cualidad se puede aplicar tanto en origen como en destino. Por una parte debe garantizar al emisor que la informacién fue entregada al receptor (no repudio en destino) y por otra, ofrece una prueba al receptor del origen de la informacién recibida, el emisor no puede negar que emitié el mensaje (no repudio en origen). Esta cualidad es muy importante en el comercio electrénico para garantizar las transacciones realizadas y las entidades participantes, aplicandose en los dos lados de la comunicacién, no poder rechazar la autoria de un mensaje, ni negar su recepcién. Autoevaluacion Seguin la ISO 20007, zqué término de los indicados a continuacién, no forma parte de la definicién de sistema de informacién seguro? © Confidencialidad Fiabilidad oO © Autenticacién. oO Integridad Incorrecto. La confidencialidad es uno de los principios que si estan incluidos en la definicién de sistema de informacién seguro. Incorrecto. La fiabilidad si es un elemento bdsico de la seguridad informatica segtin la ISO 20007,Muy bien! Segin la ISO 20007, confidencialidad, integridad, disponibilidad y fiabilidad son los elementos basicos de la seguridad informatica. Incorrecto. La integridad es uno de los principios que si estan incluidos en la definicién de sistema de informacion seguro, Solucién 1. Incorrecto 2. Incorrecto 3. Opcién correcta 4, Incorrecto2.- Elementos vulnerables en el sistema informatico. Hardware, software y datos. Caso practico Juan, Vindio y Laro ya saben que debe cumplir un sistema seguro, pero ahora tienen que aprender que es lo que tienen que proteger, o cuales son los puntos débiles de sus sistemas. Se lo ha comentado a sus jefes Maria y Félix, y éstos se han quedado estupefacto. —Ahora sabemos cémo debe ser un sistema seguro, pero ahora toca saber que elementos son los que tenemos que proteger —afirma Vindio. Asin Bacalir (26 BV.NO.SA) —iY yo que pensé que con poner una contrasefia era suficiente! —contesta Félix. —No, hay que analizar todos los elementos del sistema y ver cuales son los més vulnerables —afiade Juan. —zCémo si analizaramos los puntos débiles de una casa? {Todo esto es necesario? —pregunta Maria. —Si se quiere que el sistema funcione de manera segura si. —concluye Laro. Veamos cuales son los puntos débiles del sistema. La vulnerabilidad en un sistema informatico hace referencia a las probabilidades que existen de que una amenaza se materialice contra un _ activo. No todos los activos son vulnerables a las mismas amenazas, por ejemplo, los datos son vulnerables a los hackers y las instalaciones eléctricas a los cortocircuitos. Para saber mas En el siguiente enlace tienes mas informacion sobre el concepto de hacker. HackerCuando se habla de las vulnerabilidades de un sistema se manejan conceptos como: Amenazas. Riesgos, Vulnerabilidades. Ataques. Impactos. KKKKK Andra Rub - Elaorslén prope (Denino ble). En la imagen se puede ver la relacién que se podria establecer entre los términos anteriormente citados, Una amenaza es un factor que perjudicaria al sistema produciéndole dafios y aprovechandose de su nivel de vulnerabilidad. Los riesgos indican la posibilidad de que se materialice o no una amenaza aprovechando las vulnerabilidades. También se podria decir que una vulnerabilidad no existe si no existe una amenaza. Es decir, si no hay vulnerabilidad, tampoco hay riesgo de amenaza. Los conceptos mas claros son los de ataque e impacto, el ataque es la materializacién de la amenaza y el impacto es el dafio causado al activo (cualitativo o cuantitativo). Autoevaluacién Rellena los huecos con los términos adecuados. Una amenaza(____) una vulnerabilidad que afectaaun(—__—id?: que a su vez un impacto incrementando el Por tanto, una vulnerabilidad(_______——_) unriesgo y una incrementa el riesgo.2.1.- Hardware, software y datos como elementos vulnerables. Un sistema de informacion puede incluir como componente a un sistema informatico. Los activos que forman parte de un sistema de informacién son: Datos. Software. Hardware. Redes. Soportes. Instalaciones, Personal. Servicios. Se podria definir un sistema de informacién, como un sistema constituido por instalaciones, personas, datos y actividades que procesan datos e informacién en una organizacién. Puede incluir, 0 no, sistemas informaticos para alcanzar sus objetivos. Un sistema informatico esté compuesto por: Hardware. Software. Datos. Personal. Cada uno de estos activos presenta diferentes vulnerabilidades, las mas claras de ver son las vulnerabilidades asociadas al personal que maneja el sistema informatico. Los fallos humanos, intencionados y no intencionados, junto con la destreza o cualificacién son las vulnerabilidades mas comunes asociadas a este activo. Los puntos débiles asociados al hardware estan relacionados con dafios eléctricos, robos o desastres que impliquen una destruccién fisica de los elementos que componen el hardware de un sistema informatico. El software es el activo que nos ha preocupado mas hasta ahora. Las vulnerabilidades asociadas al software son aquellas que permiten a los usuarios ejecutar programas o aplicaciones para las que no tienen permiso, ya sea de manera local o remota. También aqui se engloban todos los programas 0 procesos que se ejecutan en un sistema informatico sin aceptacién y que pueden causar un mal funcionamiento del mismo (un virus). En cuanto a los datos, son el activo para el cual se disefié el sistema. La seguridad que deben tener es la que asegure que no sean conocidos por personas © procesos que no tengan autorizacién. Un dato sera vulnerable si esta expuesto a usuarios no autorizados, aunque estos usuarios no los modifiquen, dafien o eliminen.