Marco Jurídico I

ÍNDICE
1. La Seguridad de la Información y el Marketing Digital

1.1. Información

1.2. Seguridad de la Información

1.3. Confidencialidad

1.4. Integridad

1.5. Disponibilidad

1.6. Autenticidad

1.7. Seguridad de la Información y Marketing Digital

1.8. Importancia de la Seguridad de la Información en el Negocio

2. Identificación de las amenazas a nuestra información

2.1. Introducción

2.2. Tipos de amenazas

2.3. Código malicioso (malware)

2.4. Virus, gusanos, troyanos, adWare, spyware y zombies

2.5. Hackers

2.6. Crimen organizado (Cibercrimen)

2.7. Ingeniería social

2.8. Phishing, Spam y Hoax

2.9. Seguridad en dispositivos móviles

2.10. Persistencia de la información

2.11. Amenaza interna

2.12. Siniestros
3. Gestión y Gobierno de la Seguridad de la Información

3.1. Tipos de medidas de protección

3.2. Medidas de Gestión y Gobierno de la Seguridad de la Información

3.3. Estrategia de Seguridad alineada con el negocio

3.4. Plan Director de Seguridad

3.5. Estructura de gestión y responsabilidades

3.6. El riesgo

3.7. Identificación, análisis y gestión de riesgos

3.8. Medidas de Seguridad

3.9. Formación, sensibilización y concienciación

3.10. Plan de continuidad de negocio

3.11. Mantenimiento y mejora continua. Auditorías

4. Herramientas de seguridad

4.1. Tipos de medidas de protección

4.2. Firewalls: Firewall Filtro de paquetes (Packet Filter), Proxy-Firewall,

Stateful Inspection Firewall y Firewall personales

4.3. Antivirus

4.4. I.D.S. (Intrusion Detection System)

4.5. Sistemas de identificación y autenticación: Usuario y Password, Single-

Sign-On, Seguridad de Doble Factor y Sistemas de Cifrado

4.6. Prevención de fuga de información

4.7. Back up (respaldo de la información)

Objetivos

La Seguridad de la Información y el Marketing Digital

• Entender la importancia de la información en la

sociedad actual.

• Definir y comprender el concepto de “Seguridad de la

Información”.

• Identificar los factores que influyen en la protección

de la información.

• Entender la relación entre la seguridad de la

información y el marketing digital.
1.La Seguridad de la Información y el
Marketing Digital
 1. La Seguridad de
la Información y el 1.1. Información
Marketing Digital

Definida como “datos dotados de significado y propósito”

es la esencia del conocimiento. El conocimiento a su
vez, se capta, transporta y almacena como información
organizada.

Tal y como comentó Peter Drucker en su libro “Management

Challenges for the 21st Century”, “…el conocimiento se está
volviendo rápidamente en el único factor de la productividad,
dejando de lado al capital y la mano de obra”.

En la actualidad, la información desempeña una función cada

vez más importante en todos los aspectos de nuestra vida
y se ha vuelto un componente indispensable para realizar
negocios para casi todas las organizaciones. En un mundo
cada vez más globalizado gracias a la implantación de la
informática como herramienta habitual de funcionamiento
a nivel empresarial y con un número cada vez mayor de
compañías que operan en este nuevo mundo globalizado,
la información es el negocio. Este negocio incluye a todos
los partícipes de la llamada Sociedad del Conocimiento (o
Sociedad de la Información) como Google, eBay, Microsoft,
etc., así como un sinnúmero de compañías tanto grandes
como pequeñas que basan su negocio en manejar información.
Las organizaciones tradicionales también han pasado por
transformaciones radicales en la “era de la información”
hasta el punto de que cualquier creación artística hoy en
día no es sino bloques de información. Es prácticamente
imposible encontrar hoy en día un negocio que se haya
mantenido al margen de la tecnología de la información y que
no dependa de la información que procesa. Los sistemas de
información han dominado la sociedad y el negocio globales
y la dependencia de estos sistemas y la información que
manejan es casi, indiscutiblemente, absoluta.

No obstante, aún estamos en vías de desarrollo en cuanto a

la sociedad de la información y a las aplicaciones, tecnologías
o redes se refiere. Constantemente se están produciendo
avances en las nuevas tecnologías que hacen quedarse
obsoletos a procedimientos, usos o sistemas prácticamente
de reciente creación.

Así, cada día crece el número de internautas unos 3.385

millones de internautas en 2016.

Podéis ver el estudio completo en http://www.itu.int/en/

ITUD/Statistics/Pages/stat/default.aspx, el comercio

07
electrónico se utiliza cada vez más, de manera que las tiendas físicas deben crear negocios virtuales
para poder competir en un mercado cada vez más globalizado y competitivo, las instituciones están
avanzando en la creación de servicios virtuales (egovernment), el uso de los terminales móviles se está
haciendo básicamente indispensable para cualquier persona, etc. en definitiva, la información se mueve
constantemente en red, lo que conlleva enormes ventajas para los usuarios pero también pone en peligro
su seguridad.

1.2. Seguridad de la Información

El avance incesante de la tecnología de la información y la incomparable capacidad para acceder,
manipular y utilizar la información han aportado enormes beneficios y oportunidades a la economía
global. Así mismo, ha traído nuevos riesgos sin precedentes y un desconcertante mosaico de leyes y
regulaciones que implican cada vez más cumplimiento y mayores niveles de responsabilidad.

De acuerdo con el Instituto Brookings, tanto la información como otros activos intangibles de la
organización representan más del 80% de su valor de mercado. En consecuencia, los daños a la integridad,
disponibilidad y confidencialidad de la información pueden ser devastadores para una compañía y sus
altos directivos a quienes se les responsabiliza cada vez más.

Las empresas se enfrentan cada vez más a la necesidad de seguir siendo competitivas en la economía
global utilizando aún más recursos de información. Sin embargo, incluso a medida que esas organizaciones
cosechan tales ganancias, se han de tener muy presentes los espectros que siempre van de la mano.
Por un lado, la creciente dependencia de la información y los sistemas que la soportan y por el otro, los
constantes riesgos que se derivan de una gran variedad de amenazas.

Los riesgos que implica el desarrollo de la Sociedad de la Información son ya sobradamente conocidos y
entre otros podemos mencionar: dificultad para la protección de datos sensibles, posibilidad muy alta de
alteración o modificación de transferencias o solicitudes, exposición a la infección o incluso pérdida de la
información de los equipos informáticos de los que la utilizan, etc.

En definitiva, las Tecnologías de la Información evolucionan muy rápido y los riesgos crecen
exponencialmente.

Cada día se abren nuevos frentes para los que las empresas han de estar preparadas: virus (daño
indiscriminado), hackers (más peligroso / daño dirigido), empleados descontentos o negligentes,
espionaje, robos de bases de datos con las consiguientes multas de la Agencia de Protección de Datos
en caso de fugas de información, etc.

Se hace imprescindible ser conscientes de la existencia de estos riesgos y saber cómo afrontarlos.

Las probabilidades de sufrir cualquier percance de seguridad se ven muy reducidas si se está preparado
convenientemente, lo que implica unas políticas de seguridad muy estrictas relativas a los riesgos que
se afrontan cuando se está conectado a cualquier red.

El desarrollo de Internet y el aumento de las redes de comunicación, en general, han propiciado la aparición
de entes que ponen en peligro el normal funcionamiento de dichas redes. Así mismo, constantemente
se producen nuevas amenazas como “cybervándalos” “hacktivistas” y peligros inherentes a los sistemas
de comunicación de la nueva era. Todo ello trae consigo unos riesgos que hemos de ser capaces de
identificar a priori con el fin de minimizarlos lo más posible.

La experiencia del pasado nos muestra que muchas compañías no son conscientes de las amenazas
potenciales hasta que son víctimas de ataques exitosos a sus activos informáticos. Muchos de esos
ataques provocan severas consecuencias, debido a que no existen las mínimas estrategias preventivas,
y mucho menos, planes de reacción a incidentes. El resultado, además de los daños económicos, es la
pérdida de confianza de los clientes derivada de la revelación de información a personas no autorizadas,
la inexactitud de los datos, y la inaccesibilidad de la información en el momento en que se necesita,
creando una desconfianza tal que ocasiona que todos los elementos se vean comprometidos.

Por ello, se debe tener en cuenta la seguridad como un elemento fundamental en toda empresa u
organización. Para que esta seguridad sea efectiva, es preciso desarrollar una gestión integral de la
seguridad, de manera que:

• Se sepa cuáles son los riesgos a los que está expuesta la organización y se adopten de medidas
preventivas.
• Se tenga el control interno sobre los flujos de información y los autorizados a acceder a ella.
• Se esté preparado por si algo falla: planes de continuidad.

De acuerdo con todos los estándares internacionales, se considera que son tres los pilares en los que
se asienta la seguridad de la información:
• Confidencialidad: aseguramiento de que la información es accesible sólo para aquellos autorizados
a tener acceso.
• Integridad: garantía de la exactitud y completitud de la información y los métodos de su
procesamiento.
• Disponibilidad: aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran
a la información y sus activos asociados.

Habría un cuarto elemento según algunos expertos que hay que tener también en cuenta como es la
autenticidad.

• Autenticidad: aseguramiento de que quien accede a la información es quien dice ser.

Veamos a continuación ejemplos de cada uno de estos conceptos:

1.3. Confidencialidad
Si tenemos un área de usuarios y algunos ven violada su privacidad dejarán de usar esos servicios no sólo
los usuarios afectados sino también los que teman que les pueda pasar a ellos.

Si nuestra competencia accede a información crítica nuestra (patentes, proyectos, etc.) mediante
espionaje industrial puede poner en serio peligro nuestro negocio.

1.4. Integridad
Si el contenido de lo que ofrecemos ha sido alterado de forma fraudulenta, provocamos confusión.
Pensemos que en nuestra web un hacker hubiera alterado los precios, características, plazos de entrega,
o cualquier otra información de nuestros productos o servicios.

1.5. Disponibilidad
Si no pueden conectarse a nuestra web generamos desconfianza. Es difícil que vuelvan a hacerlo si esto
ocurre reiteradamente. Se debe garantizar que los sistemas de información funcionarán cuando se les
necesita.
Existen múltiples riesgos:

• Riesgos físicos: fuego, fallo del hardware, robo, etc.

• Riesgos lógicos:
• Intencionados, principalmente los conocidos como ataques de denegación de servicio
• Accidentales: errores de administración, fallos en las aplicaciones, etc.

09
 1.6. Autenticidad
Si se suplanta la personalidad de quien estaba autorizado a acceder a determinada información.

En todos los casos, además, estaríamos expuestos a sanciones legales por incumplimiento de diversas
normativas de obligado cumplimiento.

En el presente Manual analizaremos tanto los riesgos asociados a que no tengamos la disponibilidad,
integridad y/o confidencialidad de nuestra información así como los riesgos del incumplimiento legal.
En todos los casos, también ofreceremos posibles soluciones para mitigar todos esos riesgos y que la
confianza de nuestros clientes actuales y potenciales no se vea afectada.

1.7. Seguridad de la Información y Marketing Digital

Tanto el marketing digital como la seguridad de la información pretenden generar confianza en nuestros
interlocutores.

Sin embargo, son múltiples y variadas las amenazas a la seguridad de la información que pueden poner
en serio riesgo la confianza que queremos reforzar con el marketing digital.

El principal problema que se deriva de la existencia de estos riesgos y amenazas que se debe resolver en
primer lugar es la falta de confianza de los usuarios para aprovecharse de las ventajas que suponen las
Tecnologías de la Información.

En general, podemos hablar de tres tipos de personas a la hora de manejar la tecnología, aquellas que
muestra cierta reticencia a la hora de utilizar los medios tecnológicos disponibles bien por desconocimiento
o por una resistencia cultural a la utilización de dichas posibilidades (hablamos mayoritariamente de
gente con una edad elevada y/o con un nivel cultural limitado), por otro lado están aquellas personas
totalmente confiadas y que no muestran ningún tipo de inconveniente a la hora de facilitar datos
personales en las redes (suelen ser personas muy jóvenes) y por último estarían aquellas personas que
disfrutan de la tecnología de manera segura. Lo ideal sería partir de éste término medio aplicando una
mayor seguridad. No obstante, este miedo o desconfianza está en muchos casos plenamente justificado
y de nada sirve desarrollar plataformas tremendamente complejas si no se ha ganado la confianza del
usuario para que utilice dicha tecnología. Esto se debe principalmente a las grandes carencias en lo que
se refiere a estar preparadas las empresas para realizar transacciones on-line de forma segura.

Es indudable por tanto, el factor esencial que tiene la seguridad de la información para dar la suficiente
confianza a los usuarios que quieran aprovechar las ventajas que supone el Marketing Digital.

Dado que el marketing digital aplica estrategias de comercialización a través de los medios digitales, a
la par o no de las estrategias tradicionales, es muy importante ser muy cuidadosos con la información
que se maneja, ya que cualquier dato facilitado por los posibles clientes o cualquier destinatario de las
campañas en redes, puede ser robada por cualquiera y utilizarla en beneficio propio. Por ello, deben
establecerse unos estándares y protocolos elevados para blindar dicha información.

1.8. Importancia de la Seguridad de la Información en el Negocio

Como ya hemos dicho de forma reiterada, para la mayoría de las organizaciones, la información y el
conocimiento en el que ésta se basa se han vuelto uno de sus activos más importantes, sin los cuales
sería imposible dirigir el negocio. Tanto los sistemas como los procesos que manejan dicha información
han invadido el negocio.

Esta creciente dependencia de las organizaciones de su información y los sistemas que la manejan, junto
con sus riesgos asociados han hecho de la seguridad de la información un aspecto crucial en cualquier
organización.
La seguridad de la información es parte del negocio, de forma que sin ella, no se podrían conseguir, entre
otros, los siguientes objetivos:

• Transmitir confianza a los clientes actuales y potenciales.

• Proteger la reputación de la organización.
• Adoptar decisiones en base a informaciones contrastadas y veraces.
• Reducir incertidumbre en las operaciones de negocio al reducir los riesgos a niveles definibles y
aceptables.
• Posibilitar nuevas y mejores formas para procesar las transacciones electrónicas.
• Proteger la información durante actividades críticas de negocio tales como fusiones y adquisiciones,
recuperación del proceso de negocio y respuestas regulatorias, legales o judiciales.
• Reducir el riesgo de que la organización y su alta dirección se enfrenten a la responsabilidad civil,
penal o administrativa como resultado de imprecisiones en la información o la ausencia del debido
cuidado para protegerla.

Por último, dado que las nuevas tecnologías brindan la posibilidad de una mejora radical en el desempeño
del negocio, una seguridad eficaz de la información puede añadir un valor significativo a la organización
generando beneficios directa e indirectamente al reducir pérdidas derivadas de incidentes que estén
relacionados con la seguridad y brindar confianza de que tales incidentes y las violaciones a la seguridad
no tengan consecuencias catastróficas.

Por todo lo anteriormente expuesto, es responsabilidad de la dirección de la empresa que se adopten las
medidas adecuadas y se faciliten los medios precisos para poder llevar a cabo campañas de marketing
digital salvaguardando la información de la empresa y sus clientes, así como proteger los dispositivos de
los posibles ataques cibernéticos.

11
2. Identificación a las amenazas a
nuestra información
Objetivos

Identificación de las amenazas a nuestra información

• Entender que la información siempre está expuesta

a amenazas y riesgos.

• Identificar y comprender las amenazas más

habituales.

13
 2. Identificación
a las amenazas a 2.1. Introducción
nuestra información
Según el Dr. Eugene Spafford, (Professor of Computer
Sciences and Philosophy, Purdue University) uno de los
grandes pioneros en el campo de la seguridad informática
de la Universidad de Purdue en Estados Unidos, autor de
diversas herramientas de seguridad como Tripwire y coautor
de los libros “Practical Unix and Internet Security” y “Web
Security and Commerce” “el único sistema seguro es aquel
que está apagado y desconectado, encerrado en un bunker,
rodeado por gas venenoso y custodiado por guardianes bien
pagados y muy bien armados. Aun así, yo no apostaría mi
vida por él.”

Cualquier máquina conectada a Internet corre el riesgo de

verse comprometida, por eso, todos los usuarios de internet
estamos expuestos a sufrir algún tipo de intromisión en
nuestros sistemas. Según las estadísticas de supervivencia
del SANS Institute Internet Storm Center, en junio de 2003
el “tiempo de supervivencia” de un sistema Windows sin
parchear (el estado en el que se encuentra recién instalado)
conectado directamente a Internet era de 40 minutos antes
de ser comprometido. En agosto de 2004 pasó a 16 minutos.
En 2007 ya eran segundos. Hoy en día, si alguien reinstala su
sistema operativo sobre un sistema directamente conectado
a Internet resultará infectado antes de que termine la propia
instalación.

2.2. Tipos de amenazas

Aunque en muchos casos se da una combinación de ellas, a
efectos didácticos podemos clasificar las amenazas teniendo
en cuenta el origen de la misma:

• Códigos Maliciosos (también denominados “Malware”).

Son programas destinados a perjudicar o a hacer un
uso ilícito de los recursos del sistema. Se instala en
el ordenador abriendo una puerta a intrusos o bien
modificando los datos. Estos programas pueden ser un
virus informático, un gusano informático, un troyano,
un keylodger, un programa espía (“Spyware”).
• Hacker. Persona que consigue acceder a los datos o
programas de los cuales no tiene acceso permitido
(también conocidos como cracker, defacer, script kiddie
o Script boy, viruxer, etc.).
• Crimen organizado. Fraudes on-line (phishing,
pharming, espionaje industrial, ingeniería social, etc.)
• Amenaza interna. En muchos casos, el personal interno
de forma consciente o inconsciente puede poner en
serio peligro la información que maneja.
 • Un siniestro (robo, incendio, inundación) deriva en pérdida de información.

A continuación analizamos cada una de estas amenazas.

2.3. Código malicioso (malware)

Se trata de aquellos componentes de software que se instalan sin el conocimiento del usuario y que
ejecutan acciones en su perjuicio.

Tradicionalmente se trataba únicamente de los llamados “virus informáticos”, pero la proliferación de

internet ha dado lugar a todo tipo de variantes: Gusanos, Adware, Spyware, etc.

Actualmente es normal que un software malicioso pertenezca a más de una variante, por ejemplo,
Gusanos que instalan Spyware o que permiten el acceso mediante características de troyano, etc. Para
facilitar su entendimiento, a continuación explicamos cada uno de ellos.

2.4. Virus, gusanos, troyanos, adWare, spyware y zombies

En 1984, Fred B. Cohen lo definió como “un programa de ordenador que puede infectar otros programas
modificándolos para incluir una copia de sí mismo” Aparte de esta capacidad, en muchas ocasiones
suelen llevar incorporado un “payload” que ejecuta una acción destructiva bajo ciertas condiciones.
Tuvieron su mayor extensión en los años 90 y se transmitían principalmente por la copia de usuario a
usuario. Ej. “Viernes13”, “Barrotes”, “CIH”, etc Actualmente han dejado paso a formas más sofisticadas
de software malicioso.

Un gusano es un programa capaz de auto-replicarse de ordenador a ordenador. Aprovecha para ello la

posibilidad de transmitirse a sí mismo a través de una red. En ocasiones puede requerir la interacción por
parte del usuario, por ejemplo, ejecutando el programa del gusano.

• Ejemplo: Mydoom; gusano de correo electrónico que se adjuntaba a sí mismo.

También puede aprovechar fallos en el software e introducirse en el sistema de la misma forma que
haría un hacker.

• Ejemplo: el gusano “Sasser” explotaba una vulnerabilidad en el servicio LSASS de Windows 2000
y XP.

Tradicionalmente se trataba de un programa aparentemente benigno que invitaba al usuario a ejecutarlo,

de ahí su nombre. Un troyano es un programa cuya función es realizar acciones sin el conocimiento del
usuario. Se llaman así por su parecido con la historia mitológica del caballo de Troya, ya que muchas
veces estos programas se envían por correo electrónico con la apariencia de un programa benigno,
cuando lo que en realidad hacen es instalarse de forma residente en el sistema operativo. Su principal
función suele ser la de permitir una puerta de acceso a un intruso remoto, por ello también reciben el
nombre de Backdoors.

Hoy en día, lo más común es que puedan instalarse al visitar una página Web aprovechando fallos en
el navegador o al abrir un correo electrónico. Se instalan de forma residente en el sistema operativo.
Actualmente son muy utilizados por las bandas de cibercriminales para el robo de contraseñas bancarias.

Este tipo de código malicioso se identifica más por su finalidad que por el tipo de propagación que usa.

• AdWare: tras conseguir instalarse, presenta al usuario ventanas pop-up de publicidad, o modifica
el navegador para que siempre presente una página de inicio, o sustituya páginas especificas por
otras.
• SpyWare: instala software capaz de monitorizar las acciones del usuario, normalmente con el
propósito de hacerse con sus usuarios y contraseñas de banca electrónica o servicios similares.

15
 • Zombies o Bots: instala software que utiliza recursos del ordenador del usuario, por ejemplo,
usando su conexión a Internet para enviar SPAM o realizar ataques a otros sistemas. Existen redes
de bots (botnets) utilizadas por grupos organizados de ciberdelincuentes.

2.5. Hackers
Podemos definir al hacker como la persona que intenta introducirse y/o causar daños en los sistemas
informáticos ajenos a través de Internet u otras redes TCP/IP.

Donde algunos creen que han levantado un muro impenetrable, ellos ven los agujeros.

Al no tener información certera de la red, un hacker tiene que realizar ciertos pasos para poder conocer
qué es lo que hay en ella y buscar la manera de atacarla.

Las motivaciones del hacker nos permiten conocer mejor cuál es el posible objetivo de los mismos. Las
motivaciones dependen del perfil de hacker de que se trate:

a. En primer lugar tendríamos a los hackers menos expertos, conocidos como script kiddies,
nombre que traducido vendría a ser “Los niños de los scripts”. Estos intrusos suelen ser aquellos
que utilizan herramientas disponibles en Internet para intentar realizar intrusiones. Normalmente
eligen sus objetivos al azar. Su forma de actuación consiste en probar repetitivamente (por ejemplo:
por medio de programas que automatizan tareas, los scripts) una herramienta en particular contra
gran cantidad de servidores. Su objetivo suele ser conseguir el control de la mayor cantidad posible
de servidores.

Posteriormente pueden usar estos servidores como plataforma de lanzamiento para introducirse
en otros sistemas, para almacenar y/o intercambiar Warez (software pirata), para instalar
herramientas de denegación de servicio o para realizar defacements (sustituir las portadas de las
páginas web). Su motivación suele ser normalmente el afán de notoriedad o el deseo de ser un
hacker, en gran parte por la imagen pública que dan los medios.

Estas modificaciones de sitios Web traen importantes consecuencias para la empresa afectada,
pues dañan su imagen pública y, aun siendo normal que la intrusión no se extienda más allá del
propio servidor Web, la idea que transciende al público en general es que toda la infraestructura de
la empresa se ha visto comprometida.
En otras ocasiones utilizan scripts para sustituir páginas Web de manera automatizada. Su objetivo
no es por tanto una intrusión concreta sino simplemente atribuirse el hacking del mayor número
de sistemas posible.
Un peligro adicional de estos hackers poco experimentados es que usan herramientas y técnicas de
terceros y sus conocimientos de los sistemas operativos que comprometen pueden ser mínimos.
Es normal que, una vez logrado el acceso a una máquina, o incluso al intentarlo, modifiquen o
destruyan información contenida en los sistemas de forma accidental y debido a su inexperiencia.

b. Hacktivistas: Son activistas sociales o políticos que utilizan las redes para dar notoriedad a sus
pretensiones. Es común que entre sus acciones se encuentre modificar páginas Web, para que los
medios de comunicación se hagan eco de sus intrusiones. También realizan ataques distribuidos
de denegación de servicio (DDOS) con la misma finalidad. Pretenden afectar a la disponibilidad
de determinadas webs con fines políticos. Últimamente el ejemplo más conocido es el del grupo
Anonymus.

c. Expertos. Son aquellos que tienen grandes conocimientos de seguridad informática. Su motivación
suele ser la de hacerse con el control de sistemas por el desafío que representa superar las medidas
de seguridad, o por la notoriedad del objetivo (banca, sistemas militares, etc.) aunque, al contrario
de los script-kiddies, en estos casos sólo suelen dar a conocer sus ataques dentro de un círculo
reducido de personas.
 En ocasiones también debido a otros motivos que pueden ser políticos, personales, etc. decide atacar
una empresa u organización en particular. Estos hackers se documentarán, analizarán los sistemas
a los que pueden conectarse y usarán herramientas específicas, posiblemente programadas por
ellos mismos, para hacerse con el control de alguna de las máquinas. Posteriormente intentarán
extender la intrusión hacia redes o máquinas internas, hasta llegar a su objetivo.

d. Ciberdelincuentes. El último tipo sería similar al anterior en cuanto a experiencia, pero su

motivación consiste en obtener un beneficio de su intrusión. En este caso realmente se trata de
ciberdelincuentes que tratamos en el punto siguiente.

2.6. Crimen organizado (Cibercrimen)

Son el tipo más peligroso, aunque su nivel de conocimientos puede variar. Su objetivo común es obtener
un beneficio económico de su actuación, mediante fraude, extorsión, espionaje industrial, etc. Pueden
asociarse con otros con los que comparten sus herramientas y técnicas, y a su vez este nuevo grupo
negocia con otros grupos.

La situación generada por estos delincuentes es cada vez más preocupante.

Son diversas las formas que utilizan los cibercriminales para conseguir sus objetivos. Pasamos a analizar
algunas.

2.7. Ingeniería social

Es un tipo de ataque que consiste en obtener información confidencial a través de la manipulación de
usuarios legítimos.

Un “ingeniero social” usará comúnmente el teléfono e Internet para engañar a la gente y llevarla a
revelar información sensible, o bien a violar las políticas de seguridad típicas.

Los “ingenieros sociales” aprovechan la tendencia natural de la gente a confiar, antes que aprovechar
técnicamente agujeros de seguridad en los sistemas informáticos.

Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el
principio por el que se rige la ingeniería social.

El famoso hacker Kevin Mitnick en diversas entrevistas concedidas después de la salida de la cárcel
afirmó que su principal herramienta fue siempre la ingeniería social. Ha publicado un libro dedicado
íntegramente al respecto, y su empresa ofrece cursos de concienciación específicos sobre este tema.

2.8. Phising, SPAM y HOAX

Una forma moderna y bastante extendida de ingeniería social es la del “phishing”. Es el acto de robar
información personal vía Internet para cometer algún fraude, fundamentalmente financiero. Se trata de
engañar a usuarios (sobre todo de banca electrónica) para ver si “pican” (de ahí su denominación, que en
inglés suena igual que fishing, pescando) y realizan alguna acción que permita a los “phishers” tomar el
control de sus cuentas y robarles su dinero.

La forma habitual de proceder consiste en enviar a los usuarios correos que parecen proceder de su
banco y que solicitan al usuario que acceda a su cuenta, mediante alguna excusa como actualización de
datos o bajo la “amenaza” de cargos no efectuados, siempre con el propósito de capturar los usuarios y
password una vez sean introducidos. Aunque el principal objetivo de “phishing” es la banca electrónica,
no se debe descartar su uso contra cualquier aplicación Web, especialmente si maneja información
financiera, personal, etc.

17
El phishing se ha vuelto tan común que la mayoría de los usuarios incluso con escasos conocimientos
técnicos son capaces de detectar este tipo de ataques. Por ello, van apareciendo variaciones más
sofisticadas de este tipo de ataque.

• Phishing Telefónico, incluido el phishing telefónico inverso, esto es contratar un numero 900,
902, etc., que simule ser de una entidad bancaria (música en espera, operativa, etc.), en lugar de
solicitar al usuario los datos por correo electrónico se le pide que por “seguridad” llame a número
de atención telefónica que se le indica
• Pharming y Hickjacking del navegador, ataques que consisten en desviar las comunicaciones Web
de forma que el usuario no es consciente del ataque ni necesita participar activamente en él.

Todo aquel correo electrónico que recibimos sin haberlo solicitado y que contiene información que no
es de nuestro interés, normalmente con fines comerciales, como publicidad de productos, servicios,
promociones, viajes, etc. es lo que comúnmente se conoce como SPAM o correo basura.

Puede suponer graves problemas para el que lo envía desde el punto de vista de sanciones por
incumplimiento de normativa como la LSSICE (Ley de Servicios de Seguridad de la Información y
Comercio Electrónico) que se analizará más adelante en este Manual.

Para las organizaciones que lo reciben, el SPAM, aunque no compromete en un principio la confidencialidad
o integridad de los sistemas, sí tiene una fuerte repercusión sobre la disponibilidad.

El usuario que lo recibe pierde tiempo al descargar, leer y eliminar mensajes que no solicitó. La organización
pierde dinero en ancho de banda y despliegue de soluciones de correo limpio.

Los Hoax (rumores, broma o engaño), son mensajes con falsas advertencias de virus, o de cualquier otro
tipo de alerta, incluso solidaria, o de algún tipo de denuncia, distribuida por correo electrónico:

Alerta Virus, avise a todos sus conocidos! Urgenteeeeee!!! No lo borres, es muy importante!!!

Salvemos a Pepito, que padece una enfermedad incurable (rara dolencia que le impide crecer,
pues desde hace cinco años mantiene la misma edad)

Reenvía este mail para ganar un premio, etc.

En la mayoría de los casos son falsos, y sólo sirven para ocupar tiempo y ancho de banda. ¡Rompe la
cadena! Desconfía de cualquier correo que pida expresamente ser reenviado.

2.9. Seguridad en dispositivos móviles

Dado el tipo de sociedad en la que estamos inmersos donde lo principal es la flexibilidad e inmediatez
y debido a que actualmente se utilizan dispositivos cada vez más sofisticados, que permiten realizar
un mayor número de transacciones a través de ellos, (fundamentalmente los smartphones y tablets
o portátiles, que han sustituido a los viejos ordenadores de sobremesa inamovibles) es importante
salvaguardar los datos y operaciones que realizamos por dichos sistemas; además, dicha movilidad ha
incrementado sustancialmente la posibilidad de pérdida accidental de información, al tiempo que facilita
al atacante la posibilidad de sustraer grandes cantidades de datos.

Es por ello por lo que debemos aplicar las mismas medidas de seguridad a los dispositivos móviles
que las que aplicamos a aquellos dispositivos fijos que utilizamos, es decir, instalar antivirus en los
dispositivos, contraseñas, ser cuidadosos con la información guardada y facilitada, etc, y más cuando
éstos dispositivos pueden ser fácilmente sustraídos al encontrarnos en lugares públicos.
 2.10. Persistencia de la información
Debemos ser conscientes que toda aquella información que creemos ha sido borrada o eliminada,
generalmente permanece oculta hasta que se sobrescribe en ella, es decir, el espacio que ocupaba
una información, al borrarse, aparentemente queda liberado pero hasta que no se vuelve a utilizar no
desaparecen realmente los datos. Por eso, existe un claro riesgo en todos los sistemas de almacenamiento
de datos que han sido desechados por alguna causa, bien sea por fallos, por quedarse obsoletos o por
cualquier cuestión, ya que ofrecen una magnífica posibilidad a los delincuentes para obtener información.

Ejemplo de un caso real:

En un estudio realizado por dos estudiantes en prácticas en el Laboratorio del Instituto de Tecnología
de Massachusetts (MIT) buscando entre los datos dejados inadvertidamente en 158 discos de segunda
mano, encontraron más de 5.000 números de tarjetas de crédito, datos personales, datos financieros de
empresas, numerosos ficheros médicos, gigabytes de eMail personal y pornografía.

Los discos fueron adquiridos por un precio medio de 6 € de eBay y otras fuentes de venta de discos duros
de segunda mano. Sólo 12 unidades habían sido borradas adecuadamente.

2.11. Amenaza interna

En muchas ocasiones se olvidan los riesgos de tipo interno, debido a la mentalidad de “fortaleza”, en la
que todos los peligros parecen proceder del exterior. Los usuarios internos son una fuente de incidentes
de seguridad, de forma intencionada o no. Hay usuarios maliciosos (empleados descontentos, fraude
interno, etc.) y los hay simplemente descuidados, que pueden generar accidentes que causen graves
daños a la información de la organización.

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda
entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin
embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de
la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco aproximadamente entre
el 60 y el 80 por ciento de los incidentes de red son causados desde dentro de la misma. Generalmente
estas amenazas pueden ser más serias que las externas por varias razones como son:

• Los usuarios conocen la red y saben cómo es su funcionamiento.

• Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo.
• Los mecanismos de seguridad perimetral como IPS y Firewalls no son efectivos en amenazas
internas.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la
mayoría de las compañías y organizaciones a nivel mundial, y porque no existe conocimiento relacionado
con la planificación y gestión de un esquema de seguridad eficiente que proteja la información de las
actuales amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles
de la organización, lo que puede representar un daño con valor de miles o millones de dólares. El ejemplo
más claro de fuga de información por parte de usuarios legítimos lo tenemos con Wikileaks.

Además, en muchas ocasiones no se trata de un daño intencionado sino que los usuarios no son
conscientes de las consecuencias de sus actos para la seguridad de la información. Muchas veces viene
derivado del uso inadecuado de los recursos de Internet de los que disponen:

• Navegación Web.

1. Dependerá de la política de uso de Internet de la organización.

19
 • Correo electrónico.

1. Reenvío de correos electrónicos “inútiles”: Hoaxes.

2. Prácticas que facilitan la recepción de SPAM.

• Uso de redes P2P: Las Redes Peer to peer son aquellas redes en las que los ordenadores se
encuentran interconectados entre sí por un sistema de nodos que permite que los usuarios
sean a la vez servidores. Las aplicaciones más conocidas que utilizan este sistema son Skype,
BitTorrent (http://es.wikipedia.org/wiki/BitTorrent) o emule (http://es.wikipedia.org/wiki/Emule).
Los riesgos para la organización son evidentes como los que vienen derivados del vacio legal sobre
la descarga de contenidos con copyright o el uso de ancho de banda que puede ralentizar el trabajo
de otros usuarios. Pero existen otros riesgos menos conocidos como la Revelación Accidental de
Información: documentos compartidos por error al utilizar alguna de estas aplicaciones. Puede
afectar a la propia organización (administradores, desarrolladores, personal de administración),
aunque principalmente se da entre los usuarios finales de las aplicaciones. Ej. usuarios que
comparten accidentalmente la carpeta “Mis documentos” y disponen de ficheros con passwords,
detalles de transacciones, etc. Entrada de Malware: existen gusanos específicos que infectan
ficheros compartidos o bien hackers que incluyen troyanos en el software pirata.

2.12. Siniestros
Hay toda una serie de incidentes que se deben a casos fortuitos o fuerza mayor (terremotos, incendios,
inundaciones, etc.). En estos casos la mayor amenaza es no estar preparados para reaccionar en caso de
que se materialice este riesgo. Como veremos en el Módulo 3 del presente Manual, es esencial contar
con un Plan de Continuidad de Negocio operativo.

Según el Emergency Management Forum de Estados Unidos, del 100% de las empresas que afrontan un
desastre sin contar con un Plan de Continuidad de Negocio:

• 43% nunca reabren el negocio.

• 51% sobrevive, pero están fuera del mercado en 2 años.

• Sólo el 6% logra sobrevivir.

3. Gestión y Gobierno de la Seguridad
de la Información

21
Objetivos

Gestión y Gobierno de la Seguridad de la Información

• Comprender cómo proteger nuestra información.

• Entender que las medidas de protección más útiles

no se compran, se gestionan.
3. Gestión y Gobierno
de la Seguridad de la 3.1. Tipos de medidas de protección
Información
Las medidas de protección son aquellos procesos, métodos
y herramientas que se diseñan, implementan y verifican con
el objetivo de minimizar y controlar los riesgos derivados de
las acciones maliciosas, los errores y los eventos fortuitos.

Podemos clasificar las medidas de protección en dos grandes

grupos:

1. Medidas de Gestión y Gobierno de la Seguridad de la

Información.

• Estrategia de seguridad alineada con el negocio

• Plan y Políticas de Seguridad
• Identificación, Análisis y Gestión de Riesgos
• Planes de Contingencia y de Continuidad de Negocio
• Formación, Sensibilización y Divulgación
• Mantenimiento y Mejora Continua.
• Auditorías

2. Herramientas de Seguridad.

• Firewalls
• IDS
• Antivirus
• Prevención de Fuga de Información / DLP (Datal Leak
Prevention)
• Back-up
• Control de accesos

23
 3.2. Medidas de Gestión y Gobierno de la Seguridad de la Información
En el World Economic Forum Annual–DAVOS-meeting, SWISS RE (una de las aseguradoras más
importantes del mundo) hizo público un estudio resultante de una encuesta a nivel mundial a senior
executives. Los riesgos asociados a TICs, ocupan el primer lugar dentro de los más críticos para sus
negocios. En el mismo estudio, indican como herramienta primordial para mitigar estos riesgos el control
interno y la gestión de la seguridad de la información.

En base a éste estudio, el elemento esencial para proteger nuestra organización son las medidas de
gestión y gobierno de la seguridad de la información.

En la Guía sobre Gobierno de Tecnologías de Información para Consejos de Administración y Dirección

Ejecutiva del IT Governance Institute (ITGI), se define gobierno como “el conjunto de responsabilidades
y prácticas, ejercidas por el consejo y la dirección ejecutiva con la finalidad de brindar una dirección
estratégica, garantizar que se logren los objetivos, determinar que los riesgos se administran de forma
apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad.”

Una extensión de la definición de gobierno incluye “la estructura a través de la cual se establecen
los objetivos de la empresa, y se determinan los medios para alcanzar dichos objetivos y verificar su
cumplimiento” tal y como se describe la Organización para la Cooperación y el Desarrollo Económico
(OCDE) en su publicación “Principios de Gobierno Corporativo de la OCDE”. La estructura y los medios
incluyen estrategia, políticas, normas, procedimientos, planes estratégicos y operativos; sensibilización y
formación, administración de riesgos; controles y auditorías.

Para un buen Gobierno de la Seguridad de la Información se han de tener en cuenta, al menos, los
siguientes aspectos:

• Una estrategia de seguridad de la información que esté alineada con las metas y objetivos de negocio.

• Identificar los riesgos de seguridad que afectan específicamente a la organización.

• Identificar los requerimientos legales y regulatorios que afecten a la seguridad de la información (lo
veremos en los capítulos correspondientes).

• Seguimiento y control.

• Justificar la inversión en seguridad de la información.

3.3. Estrategia de Seguridad alineada con el negocio

La seguridad no puede plantearse nunca desde una perspectiva puramente técnica y aislada de
la organización a la que se aplica. La seguridad de la información debe estar siempre al servicio del
negocio. Según el valor de la información a proteger en nuestro negocio debemos organizar y gestionar
su seguridad pero es imposible lograr confidencialidad, integridad y disponibilidad, cuando no se sabe
qué es lo que se quiere proteger y contra qué se quiere proteger. Desgraciadamente, ese es el caso en
muchas compañías e Instituciones y por ello, lo ideal sería crear un “Comité de gestión de seguridad de la
información” que asegure una dirección clara en materia de seguridad y que cuente con el apoyo visible
de la Dirección de la Empresa. . Este Comité debe promover la seguridad por medio de un compromiso
apropiado y de los recursos adecuados para lo que el Comité debería formar parte de la estructura
directiva existente.

Normalmente este Comité realiza las siguientes funciones:

• Revisión y aprobación de la política de seguridad de la información y de las responsabilidades

principales.
• Supervisión y control de los cambios significativos en la exposición de los activos de información a las
amenazas principales.

• Revisión y seguimiento de las incidencias en la seguridad de la información

• Aprobación de las iniciativas principales para mejorar la seguridad de la información

Así mismo un miembro de la alta dirección debería responsabilizarse de todas las actividades relacionadas
con la seguridad.

Podemos definir la política de seguridad como un tratado de buenas maneras de obligado cumplimiento
cuyo objetivo es dirigir y dar soporte a la gestión de la seguridad de la información.

La Dirección debe aprobar la política de seguridad adecuada para la organización. A la hora de la puesta
en funcionamiento, esta política ha de ser publicada y comunicada a todos los empleados involucrados
en el proyecto.

La estrategia de seguridad de la organización se recoge en la política de seguridad a seguir por todos sus
miembros y se articula en el Plan Director de Seguridad.

3.4. Plan Director de Seguridad

Se debe plasmar esa estrategia en un documento en el que se defina cómo abordar la seguridad de
nuestra organización. Esto se contempla en el llamado Plan Director de Seguridad.

Un Plan Director de Seguridad es un documento de coordinación que define las acciones que se van a
adoptar para implantar las medidas de seguridad requeridas tanto a corto, medio como a largo plazo
para lograr y mantener el nivel de seguridad apropiado, los costes, un calendario de implantación y
debería incluir:

• Los objetivos de seguridad en términos de confidencialidad, integridad, disponibilidad y autenticidad.

• Una valoración de los riesgos de seguridad informática que afrontará el sistema y de cómo son
minimizados por las medidas de seguridad.

• Una lista de medidas de seguridad requeridas para alcanzar los objetivos de seguridad, una lista de
los sistemas actualmente instalados o disponibles por defecto, en caso de que se trate de un sistema
TI ya implantado.

• Una estimación de los costes de instalación y operación de las medidas de seguridad.

• Un plan de trabajo para la instalación de las medidas que recoja: prioridades, calendario de
implantación, responsabilidades y un calendario de verificación.

Con carácter general, se ha de tener en cuenta para el buen gobierno de la seguridad de la información
las normas ISO 27000 e ITIL (ISO20000) que definen un marco común, homogéneo y estándar para
desarrollar políticas, normas y procedimientos de seguridad.

A continuación vemos algunos de los aspectos que, al menos, se deben tener en cuenta en todo Plan
Director.

25
 3.5. Estructura de gestión y responsabilidades
El objetivo es gestionar la seguridad dentro de la organización para lo que debe establecerse una
estructura de gestión para iniciar y controlar la implantación de la seguridad.

Es conveniente organizar foros de gestión adecuados con sus dirigentes para aprobar la política de
seguridad de la información, asignar roles de seguridad y coordinar la implantación de la seguridad en
toda la organización. Si fuera necesario, debería facilitarse el acceso dentro de la organización a una
fuente de consultores especializada en seguridad de la información. Deben desarrollarse contactos con
especialistas externos en seguridad para mantenerse al día de las tendencias de la industria, la evolución
de las normas y los métodos de evaluación, así como tener un punto de enlace para tratar las incidencias
de seguridad. Debería fomentarse un enfoque multidisciplinario de la seguridad de la información, que, por
ejemplo, implique la cooperación y la colaboración de directores, usuarios, administradores, diseñadores
de aplicaciones, auditores y el equipo de seguridad con expertos en áreas como la gestión de seguros y
la gestión de riesgos.

Así mismo, deben definirse claramente las responsabilidades para la protección de los activos individuales
y para la ejecución de los procesos específicos de seguridad.

La política de seguridad de la información realizada debería servir de guía para la asignación de las
funciones y responsabilidades de la seguridad de la organización. Esta asignación, debería completarse,
dónde sea necesario, con una guía más detallada para ubicaciones, sistemas o servicios específicos. Deben
definirse claramente las responsabilidades locales para activos físicos y de información individualizada y
los procesos de seguridad como por ejemplo un plan de contingencias.

Se puede nombrar un director de seguridad de la información como responsable de desarrollo e

implantación de la seguridad y para dar soporte a la identificación de las medidas de control.

3.6. Identificación, análisis y gestión de riesgos

El primer paso para proteger nuestra información es tener claro cuáles son los riesgos que específicamente
afectan a mi organización, por el tipo de información que quiero proteger, y para que mi negocio no se vea
afectado o lo sea en la menor medida posible.

Sin esta información, el aventurarse a elegir herramientas de protección se convierte en muchas ocasiones
en un sin sentido en el que se invierte bastante dinero para no obtener la protección adecuada a nuestra
organización, ya que se adquieren soluciones contra riesgos que no existen, o se pasan por alto riesgos
críticos que posteriormente resultan catastróficos para el negocio.

La implantación sensata de una gestión y gobierno de seguridad debe comenzar con la identificación de
los riesgos potenciales. Este proceso debe ser desarrollado formalmente por un grupo de personas de
todas las áreas de la compañía, con objeto de obtener una visión completa del valor de los activos y las
consecuencias de que se vea comprometida su confidencialidad, integridad o disponibilidad.

3.7. El Riesgo
El riesgo es la posibilidad de que se produzca un perjuicio determinado en nuestra información o en toda
la Organización. Este impacto se puede producir debido a que una amenaza explote vulnerabilidades
para causar pérdidas o daños.

Un escenario de riesgo describe cómo una amenaza particular o un grupo de amenazas pueden explotar
una vulnerabilidad o grupo de vulnerabilidades en particular exponiendo los activos de información a
daños o pérdidas.

El riesgo se caracteriza por la combinación de dos factores: la probabilidad de que ocurra el incidente no
deseado y su impacto.
Cualquier modificación en los activos, amenazas, vulnerabilidades y salvaguardas puede tener efectos
significativos en el riesgo de forma que la pronta detección o el conocimiento de cambios en el entorno o
en el sistema, facilitan la toma de decisiones apropiadas para reducir el riesgo.

Una buena manera para esa toma de decisiones es el dar respuestas serias a las siguientes preguntas:

• ¿Cuáles son las amenazas específicas a mi negocio?

• ¿Qué impacto tendrían si se materializaran?

La respuesta a estas preguntas, permitirá tener un excelente nivel de conocimiento sobre los activos con
que se cuenta y lo que representan para la empresa, así como conocer cuál sería el impacto en caso de
que sufran algún incidente de seguridad.

Es el proceso que permite la identificación de las amenazas que acechan a los distintos componentes
pertenecientes o relacionados con el sistema de información (conocidos como “activos”). Sirve para
determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de
perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento
del riesgo que corre. Existen una serie de directrices para la gestión de los riesgos, aunque no una
metodología concreta en el estándar ISO 27005 que puede servir de guía para el proceso de identificación,
control y minimización o eliminación, a un coste aceptable, de los riesgos que afecten a los sistemas de
información.

Lamentablemente en la mayoría de las empresas no se realizan análisis de riesgos que permitan

identificar los activos con que se cuenta, su valía, y los riesgos de cualquier tipo que pudieran afectarlos
y desde luego, tampoco se suele tener una estimación de lo que costaría recuperarse de un incidente.

El análisis de los riesgos conlleva a su vez el análisis de los activos, amenazas y vulnerabilidades. Los
riesgos son valorados en términos del impacto potencial que podría ser causado por la pérdida de
autenticidad, confidencialidad, integridad y disponibilidad de la información.

Puede ser acometido un análisis inicial breve de todos los sistemas con una inversión muy limitada en
tiempo y recursos.

Este análisis inicial ayuda a determinar qué sistemas pueden ser protegidos adecuadamente con
salvaguardas básicas, y qué sistemas deben someterse a un análisis de riesgos detallado.

Es el proceso por el que, basándonos en los resultados obtenidos en el análisis de riesgos, se pueden
seleccionar e implantar las medidas o “salvaguardas” de seguridad adecuadas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus
posibles perjuicios.

La gestión de riesgos requiere también de la participación de todas las personas vinculadas; si todos los
usuarios prestan su apoyo y colaboran en las medidas de seguridad y en ponerlas en práctica, el sistema
tenderá a mejorar. Por el contrario, cualquier mecanismo de seguridad que se establezca será vulnerable
si existe la participación voluntaria de algún usuario autorizado para romperlo.

27
 Fig. Elementos implicados en el Análisis y Gestión de Riesgos.

3.8. Medidas de Seguridad

Un buen análisis y gestión de riesgos permitirá una adecuada selección de mecanismos de protección. Del
mismo modo, una mala identificación de riesgos puede conducir a una mala selección de mecanismos,
provocando una falsa sensación de seguridad, que podría agravar la severidad de las consecuencias de
un incidente. La identificación y selección de medidas de seguridad dependen entonces completamente
del éxito de la identificación de riesgos.

El proceso de identificación de mecanismos de seguridad puede realizarse atendiendo a las siguientes

cuestiones:

• Identificar. Equilibrando las acciones que ayudan a mitigar los riesgos ya identificados (mecanismos,
procedimientos, entrenamiento).

• Coste. Identificando el coste financiero, operativo, etc. que implica ejecutar dichas acciones.

• El ROI (Retorno de la Inversión). Buscando que el coste que conlleva protegerse de una amenaza sea
menor al coste que supondría recuperarse de la materialización de dicha amenaza.

La solución a éstas cuestiones permitirá identificar varias alternativas distintas para mitigar el impacto
de los riesgos identificados. Dependiendo de las implicaciones de cada alternativa y la situación única
de cada compañía, deberán elegirse los mecanismos suficientes necesarios para lograr los niveles de
confidencialidad, integridad y disponibilidad requeridos.
 3.9. Formación, sensibilización y concienciación
Tanto la formación como la sensibilización como la concienciación son elementos esenciales para una
seguridad efectiva ya que previenen y mejoran significativamente los incidentes de seguridad. El personal
de una Organización suele ser uno de los eslabones más débiles en la cadena de la seguridad por ello
con el fin de asegurar que existe un nivel de concienciación en la seguridad adecuado, es importante
establecer y mantener un plan efectivo de formación, sensibilización y concienciación en la seguridad.

Se deben explicar:

• Los objetivos, estrategias y políticas de seguridad de la Organización.

• La necesidad de seguridad, sus funciones y responsabilidades asociadas.

Además, el Plan debe estar diseñado para motivar a los diversos actores, y para asegurar la aceptación
de sus responsabilidades en materia de seguridad.

Para desarrollar un plan de concienciación en la seguridad que se integre con los requisitos administrativos
y culturales de una organización determinada, se deben tener en cuenta los siguientes aspectos:

• análisis de necesidades

• distribución del plan

• seguimiento

• contenido del Plan

Este Plan debe implantarse a todos los nieves organizativos, desde la alta dirección hasta las personas
encargadas de las actividades diarias. Es necesario desarrollar y repartir material de concienciación al
personal de la organización, con las diferentes funciones y responsabilidades.

El Plan integral se desarrolla y estructura en diferentes etapas, de forma que cada etapa se construye a
partir de la previa, empezando por el concepto de la seguridad hasta llegar a las cuestiones relativas a
las responsabilidades de la implantación y el seguimiento de la seguridad.

Se deben incluir una gran variedad actividades. Una de estas actividades es el desarrollo y la distribución
de material de concienciación en la seguridad (por ejemplo, posters, boletines, folletos o informes). El
objeto de este material es aumentar la concienciación general de los diversos actores implicados en la
actividad de la organización.

Otra actividad es la realización de cursos que formen a empleados específicos de la organización en

las prácticas adecuadas de la seguridad. Finalmente, pueden ser necesarios cursos que proporcionen
formación a nivel profesional en cuestiones de seguridad muy específicas.

A continuación indicamos algunas pautas a tener en cuenta en la sensibilización en seguridad de los

empleados de una organización:

• Deberán adecuarse a la organización concreta: actividad, dimensiones, cultura interna, etc.

• Se deben establecer penalizaciones o aplicar un régimen sancionador interno por el uso indebido o
negligente de las tecnologías de la información.

29
• La única norma básica y universal es que el acceso a toda información o sistema interno deberá
basarse en el principio de la “Necesidad de Acceso” (need to know).

• Perfiles de acceso según función (departamento, cargo, etc.)

• Permisos de usuario.

• Revocación de acceso al abandonar o cambiar de puesto.

• Actualización/eliminación de usuarios.

• No ejecutar nunca un archivo procedente de una dirección de correo desconocida o sospechosa de

ser reenviada.

• No participar en las cadenas de mensajes.

• Dejar el ordenador bloqueado (ctrl+alt+supr) cada vez que deje de estar bajo nuestro control en una
ausencia breve.

• Apagar completamente el ordenador cuando la ausencia sea prolongada.

• Seamos conscientes de nuestras responsabilidades.

3.10. Plan de continuidad de negocio

Cabe la posibilidad de que, aunque hayamos llevado a cabo todas las medidas de seguridad adecuadas,
se produzca un incidente que escape a nuestro control (terremotos, inundaciones, incendios, atentados
terroristas, etc.).

Ante la previsión de un incidente de estas características, las Organizaciones deben contar con un Plan de
Continuidad de Negocio, cuya misión es saber cómo reaccionar a la interrupción del servicio y proteger los
servicios críticos. Si ese Plan se circunscribe al alcance de los sistemas informáticos y comunicaciones
se le denomina Plan de Contingencias.

Este Plan ha de analizar las consecuencias de los desastres, fallos de seguridad y pérdidas de servicio
y desarrollar procedimientos para asegurar que los procesos críticos de negocio se pueden restaurar en
los plazos requeridos.

Se recomienda seguir las pautas marcadas por el estándar BS25999 el cual es un documento donde
se explican cada una de las fases que puede tener un Plan de Continuidad de Negocio en base a las
fases estipuladas por el Instituto de Recuperación de Desastres (DRI – Disaster Recovery Institute) y que
incluyen, entre otras;

• Evaluación y control del riesgo y análisis de su impacto en el negocio.

• Desarrollo de estrategias para la continuidad del negocio y la respuesta ante emergencias

• Desarrollo e implementación del plan de continuidad.

• Comunicación del estado de emergencia o crisis

• Coordinación con Autoridades públicas.

3.11. Mantenimiento y mejora continua. Auditorías

La seguridad es un proceso que no termina nunca. Aún cuando los procesos de identificación de riesgos,
identificación y selección de mecanismos se hayan desarrollado cuidadosamente, no se puede hablar
de la existencia de sistemas 100% seguros, especialmente cuando se hace referencia a sistemas
interconectados. Constantemente se descubren nuevas vulnerabilidades a las aplicaciones y sistemas
operativos, las cuales pueden ser explotadas por los atacantes. Por ello, los procesos de identificación
de los riesgos y selección de los mecanismos de protección, deben ser revisados y actualizados
periódicamente. Un análisis de riesgos elaborado en este momento, ya no será válido dentro de unos
cuantos meses si no ha recibido el mantenimiento adecuado.

El análisis y gestión de riesgos no puede ser visto como un proceso puntual que después se deja olvidado.
Debe ser un proceso constante de revisión, verificación, entrenamiento y actualización continuo. La
mejor herramienta para prevenir ser víctima de un incidente de seguridad es el conocimiento de nuestros
activos, su valor, los riesgos potenciales que enfrentan y los mecanismos con qué podemos protegerlos;
un proceso complejo, pero efectivo.

El mantenimiento y mejora continua de la seguridad tiene varios objetivos claros:

• Mantener actualizada la política de seguridad.

• Reducir la incidencia de nuevos fallos de seguridad.

• Saber cómo actuar ante un incidente para seguir manteniendo el nivel de seguridad más alto posible.

El Responsable de Seguridad de la Organización debe verificar constantemente que ésta es efectiva. Para
ello debe combinar las capacidades de su equipo con el apoyo de proveedores expertos en seguridad.
Ambos métodos son complementarios y proporcionan en conjunto una visión objetiva del estado de la
seguridad.

El proceso de verificación es uno de los más importantes de la seguridad TI, y pese a ello, uno de
los más olvidados. Las medidas de seguridad implantadas únicamente funcionarán eficazmente si
son comprobadas en el funcionamiento real de la organización. Este proceso debe asegurar que las
medidas implantadas son utilizadas correctamente y que las incidencias de seguridad y los cambios son
detectados y tratados.

El principal propósito de la actividad de seguimiento es garantizar que los medios de seguridad continúan
funcionando tal y como se desplegaron. También se comprueba que las medidas de seguridad cumplen
la funciones para las que se implantaron y de no ser así su correspondiente ajuste. Así mismo, con
el transcurso del tiempo hay una tendencia a que cualquier sistema o procedimiento se deteriore o
se convierta en obsoleto, de forma que el objetivo del seguimiento es detectar este deterioro e iniciar
la acción correctiva. Este es el único camino para mantener los niveles de seguridad necesarios para
proteger los sistemas de TI. Los procedimientos descritos en este apartado constituyen la base de un
programa de verificación efectivo.

El proceso de verificación se lleva a cabo mediante comprobaciones del cumplimiento de los requisitos
de seguridad.

La comprobación del cumplimiento de los requisitos de seguridad es la revisión y el análisis de las

medidas de seguridad implantadas. Se utiliza para comprobar si los sistemas o servicios cumplen con
los requisitos de seguridad documentados en el plan de seguridad. Las comprobaciones deberían incluir
la revisión de los siguientes elementos:

• Nuevos sistemas y servicios implantados tras el despliegue del plan de seguridad

• Adecuación de las medidas de seguridad a los objetivos planteados.

• Revisiones periódicas del correcto funcionamiento y uso de los sistemas existentes después de haber
transcurrido intervalos de tiempo (por ejemplo semestralmente)

31
• Modificación del servicio prestado por el sistema TI, cuando se han realizado cambios en el mismo
que puedan repercutir en el nivel de seguridad requerido.

Los medios de seguridad que protegen los sistemas pueden ser comprobados:

• Realizando comprobaciones y pruebas periódicas.

• Mediante la supervisión y control del rendimiento operativo teniendo en cuenta las incidencias reales
que han tenido lugar.

• Llevando a cabo verificaciones puntuales para comprobar la situación de los niveles y objetivos de
seguridad especialmente en aquellas áreas más sensibles.

Se deben realizar análisis de vulnerabilidades periódicos, mediante técnicas de hacking ético. Es decir,
comportándose como si fuera un atacante pero con el único fin de identificar las vulnerabilidades e
indicar cómo corregirlas.

Se puede contar con el apoyo de un SOC (Security Operations Center). El SOC monitoriza y gestiona en
24x7 (todas las horas del día, todos los días del año) la seguridad de una organización con el alcance que
ésta determine.

Hay que estar al día tanto de nuevos ataques y nuevas vulnerabilidades como de las nuevas soluciones
existentes, para lo que hay que probar y actualizar regularmente todos los Planes y procedimientos
definidos y asegurar que la continuidad se incorpora como parte del proceso y estructura de la organización.

Finalmente, con la periodicidad que la Dirección considere se ha de hacer una auditoria para comprobar
que se está cumpliendo la política vigente. Además, se ha de comprobar que ésta es adecuada para ese
momento en particular.
33
4. Herramientas de Seguridad
Objetivos

Herramientas de Seguridad

• Conocer las medidas físicas o herramientas más

habituales.

• Ser conscientes de que por sí solas no son suficientes.

35
4. Herramientas de
Seguridad 4.1. Tipos de medidas de protección

Recordando lo que indicábamos en el Módulo anterior, las

medidas de protección son aquellas herramientas, procesos
y métodos que se diseñan, implementan y verifican con el
objetivo de minimizar y controlar los riesgos derivados de las
acciones maliciosas, los errores y los eventos fortuitos.

Podemos clasificar las medidas de protección en dos grandes

grupos:

Medidas de Gobierno de la Seguridad de la Información.

• Plan de Seguridad

• Análisis y Gestión de Riesgos

• Políticas de Seguridad

• Clasificación de la información

• Planes de Contingencia y de Continuidad de Negocio

• Formación y Divulgación

• Plan de Mantenimiento y Mejora Continua.

Herramientas de Seguridad.

• Hardware (sistemas de copias de seguridad, sistemas de

alimentación ininterrumpida)

• Software (antivirus, sistemas de registro de actividades)

• Redes (firewalls, IDS)

• Seguridad física (control de accesos)

En este Módulo nos centraremos en las herramientas de

seguridad, comentando brevemente las más habituales.

Para hacer frente a las amenazas y riesgos de las tecnologías

de la información se han desarrollado una serie de
herramientas que permiten, dependiendo de las amenazas,
minimizar, eliminar, detectar y/o controlar éstas.

A continuación enumeraremos los principales productos y

herramientas de seguridad de la información.
 4.2. Firewall: Firewall Filtro de paquetes (Packet Filter), Proxy-Firewall
(procurador de cortafuegos), Stateful Inspection Firewall, Firewall
Personales
El principal elemento de seguridad informática a nivel de red es el uso de cortafuegos o firewall. Un
firewall actúa como un filtro, permitiendo o no conexiones entrantes o salientes.

Actualmente se consideran un elemento imprescindible para proveer de un mínimo de seguridad a los

entornos Internet/Intranet. Su uso típico es situarlo como barrera entre dos o más redes que pertenecen
a ámbitos funcionales o de seguridad distintos, como puede ser el caso de una Intranet corporativa y la
red Internet, como dispositivo de seguridad para evitar que los intrusos o usuarios maliciosos puedan
acceder a información confidencial.

Es imprescindible configurar sus reglas adecuadamente para que sea realmente eficaz.

Existen distintos tipos de firewall atendiendo al tipo de tecnología de inspección que emplean.

Un firewall del tipo packet filter analiza sólo la información de la cabecera de los paquetes que recibe
y permite o deniega el acceso en función de las listas de acceso que se hayan configurado. Es decir, un
paquete tiene la dirección de emisión y destino por lo que se pueden bloquear determinados orígenes o
destinos de forma que podría hacer que el packet filter rechace los paquetes que pretenden entrar en su
red para establecer conexiones.

Los packet filter se suelen utilizar para las funciones de filtrado que se implementan en routers y
dispositivos de red, donde tienden a tener un alto rendimiento, debido a que normalmente solo realizan
su inspección sobre parámetros simples del nivel de red de la pila TCP/IP, tales como dirección de origen
y destino, puerto origen y destino o protocolo. Por el contrario los sistemas basados en packet filtering
suelen ser poco seguros debido a que el nivel de red TCP/IP carece de información del contexto a nivel
de paquete. Este tipo de filtrado puede ser fácilmente engañado con técnicas como la fragmentación de
paquetes, o el IP-Spoofing (la modificación de los datos de dirección de origen).

Por tanto su utilización suele ser la de un primer filtrado, normalmente a nivel perimetral e implementado
en los routers, para descargar de trabajo a los firewalls propiamente dichos.

Los firewall proxys son firewall que funcionan como proxys a nivel de aplicación. Esto significa que el
firewall establece una conexión a la red de destino para el cliente que realizó la petición sólo si esta
cumple las reglas de filtrado. Es decir, los firewall proxy hacen de mediadores entre dos dispositivos que
se encuentran en redes distintas. Este tipo de Proxy suelen ser muy seguros, pues separan totalmente
a nivel de red TCP/IP las redes de origen y destino, y además suelen incorporar sistemas de análisis del
protocolo al que realizan las funciones de Proxy. Debido a que el número de conexiones se duplica y que
las comprobaciones a nivel de aplicación son complejas, el redimiendo de este tipo de firewalls suele ser
bastante bajo ante un gran número de conexiones. Dado que cada aplicación necesita su propio Proxy, la
lista de Proxys siempre será limitada y las nuevas aplicaciones o servicios serán difíciles de implementar.

La principal aplicación de este tipo de firewalls sería cuando se requiere la conexión entre una red
insegura como puede ser Internet, a una red interna que precisa de alta seguridad y cuando el objetivo
de esta conexión es permitir un único tipo de servicio, como puede ser por ejemplo un servicio basado en
tecnología web que permita la realización de gestiones administrativas.

Este tipo de firewall se diseñó para superar las limitaciones de la técnica del packet filtering. Este tipo
de firewalls usan información adicional a la contenida en la cabecera de cada paquete, como información
histórica del estado de la conexión, con toda esta información estos firewall mantienen un tabla de
estados de conexiones, de forma que aunque el flujo de paquetes se realiza a nivel de red, se realizan
análisis en niveles superiores. Otra ventaja de mantener un registro de conexiones, es que una vez que

37
una conexión ha sido permitida no es necesario volver a realizar comprobaciones y todos los paquetes
que la componen son permitidos, aumentando el rendimiento.

Este tipo de firewall es el más extendido y que podríamos considerar un todoterreno, por lo que usaremos
este tipo de producto cuando ninguno de los anteriores sea la solución óptima a los riesgos de seguridad
de las redes de nuestra organización.

Los firewalls proveen de un nivel razonable de protección frente a los intrusos de Internet, con la condición
de que las reglas de seguridad utilizadas estén cuidadosamente diseñadas y no existan puertas traseras
o medios alternativos de conexión. Los Firewalls solo pueden controlar el tráfico que pasa a través de
ellos. Hasta el firewall mejor configurado puede ser fácilmente sobrepasado por un MODEM situado
en la red interna conectado a Internet o que permita el acceso remoto, al igual que un firewall será
totalmente ineficaz para prevenir las acciones de un trabajador malicioso ya que este cuenta con acceso
local a los equipos de la red interna.

Los firewall personales cumplen funciones análogas a un firewall convencional, pero su ámbito suele ser
el proteger un único ordenador, en el que se ejecutan como un elemento de software más.

Su principal utilidad es su instalación por defecto o como parte del paquete de software que se facilite
a empleados que trabajen desde su casa, sobre todo si se desarrollan programas dedicados a facilitar el
acceso a equipos informáticos que vayan a ser manejados por personas sin ninguna experiencia en las
nuevas tecnologías.

4.3. Antivirus
Una de las amenazas más veteranas en el mundo de la seguridad informática la constituyen los virus
informáticos como ya hemos visto en el capítulo 2. La forma de detectar y eliminar virus es empleando
los productos de software conocidos como “Antivirus”.

Básicamente hay dos formas en que pueden actuar los antivirus:

• Permaneciendo atento a cualquier información que se introduzca en un ordenador, para analizarla “al
vuelo”, buscando posibles virus. Para ello el software debe de estar previamente instalado.

• Revisando todo el tráfico de red de un determinado protocolo (correo, web, transferencia de ficheros)
en busca de ficheros infectados que vayan a ser transmitidos por estos medios. Para ello este tipo de
productos debe de estar instalado en los servidores y pasarelas de los servicios correspondientes.

Los antivirus realizan su trabajo en función de una base de datos que contiene patrones para identificar
los virus informáticos, por tanto un virus informático cuyo patrón no se encuentre en estas bases de
datos pasara inadvertido a este tipo de software, por ello es fundamental que se mantenga al día este
fichero de patrones para garantizar una protección óptima frente a los programas maliciosos.

4.4. I.D.S. (Intrusion Detection System)

Son sistemas que permiten detectar los intentos de intrusión y en algunos casos detenerlos antes de
que tengan éxito.

Existen soluciones de IDS tanto comerciales como de Open Source (o códigos abiertos). La principal
ventaja de los sistemas comerciales es que se adaptan bien a los grandes entornos, pudiendo desplegar
varios sensores que se comuniquen con un sistema centralizado de recepción de alertas de seguridad.
Los Open Source se caracterizan por su coste nulo y su rapidez en incorporar patrones de nuevos ataques.
Los IDS comerciales normalmente se venden como Appliance mientras que los Open Source son una
solución software.
Un sistema IDS se puede configurar de tal forma que se comporte como un dispositivo de escucha pasivo,
indetectable por un intruso, y que almacene la información de un ataque, incluso en el caso de que
destruya los ficheros de logs de la maquina comprometida.

Un factor muy importante para el uso de un IDS es su ubicación, ya que solo podrá ejercer su función sobre
aquel tráfico que pueda capturar, lo que puede necesitar de cambios en la configuración de switches y
routers. Además habrá que elegir si éste se coloca detrás o delante del firewall. Si se hace detrás solo
detectara aquellos ataques que logren superar el firewall, si se coloca delante captara todos los ataques
sean o no exitosos; dada la gran cantidad de gusanos e intentos de ataques masivos, esta opción puede
suponer que rápidamente nos veamos desbordados por gran cantidad de falsas alarmas.

Los sistemas IDS también presentan deficiencias. La más importante es que no pueden detectar ataques
que no se encuentren en su base de datos de patrones o que no se puedan distinguir de un uso autorizado,
por ejemplo el caso de un empleado malicioso. También sufren de la imposibilidad de monitorizar
comunicaciones cifradas.

4.5. Sistemas de identificación y autenticación: Usuario y Password, Single

Sign-On, Seguridad de Doble Factor, Sistemas de Cifrado
Es esencial para la seguridad de cualquier actividad que nos cercioremos de que quien la realiza es quien
realmente dice ser. Para eso se debe contar con adecuados sistemas de autenticación.

La identificación es el medio por el cual un usuario le proporciona al sistema la identidad (credenciales)

que pretende y donde las credenciales son autenticadas por el sistema. Es el proceso de probar la
identidad de alguien. Es la primera línea de defensa, siendo una medida técnica que impide que personas
no autorizadas (o procesos) entren al sistema.

A continuación analizamos algunos de los métodos más habituales de identificación y autenticación.

Es el método más común. Normalmente se trata de forzar al usuario a que utilice contraseñas lo más
robustas posibles incluyendo caracteres alfa- numéricos.

Sin embargo, es relativamente fácil que una password pueda ser “sustraída” sin que el “propietario” se
dé cuenta o directamente facilitada por éste de forma directa o indirecta (dejándola apuntada en algún
sitio fácilmente localizable). Esto es realmente peligroso. Se debe ser consciente de las consecuencias
de que otro actúe en nuestro nombre.

Existen por tanto, dos carencias importantes de este sistema de identificación y autenticación:

• La necesidad de tener que estar introduciendo un usuario y contraseña en cada uno de los sistemas
informáticos que se empleen y que, a su vez, deben estar almacenados localmente en cada sistema
lo que genera que las contraseñas sean muy sencillas o si no se deja que lo sean, que se apunten
cerca del punto de acceso. Para paliar esta carencia se cuenta con los sistemas Single-Sign-On.

• La inseguridad intrínseca de un sistema de usuario y contraseña: la seguridad del sistema se basa

únicamente en el factor del conocimiento de un secreto, la clave de acceso o password, por lo que
cualquier persona que consiga hacerse con esa información podrá suplantar al usuario legítimo.

Para paliar estas carencias son varios los sistemas alternativos al de usuario y password que vemos a
continuación.

Para evitar la necesidad de tener que estar introduciendo un usuario y contraseña en cada uno de los
sistemas informáticos que se empleen, se han creado protocolos que permiten centralizar el proceso de
autentificación en un único sistema, de forma que la información sensible (passwords) se encuentre en
una única máquina. Ejemplos de estos protocolos son Kerberos, tacacs+ y NIS.

39
Como una evolución de este tipo de sistemas se ha creado el concepto de Single Sign-On (SSO), que
puede definirse como el proceso para consolidar todas las funciones de administración, autenticación y
autorización basadas en la plataforma de la organización en una sola función centralizada.

Este tipo de sistemas permiten a los usuarios de una red acceder a los recursos a través de una única
autentificación en el momento de su acceso inicial a la red. Un sistema SSO aumenta la productividad
de los usuarios, reduce el coste y la carga de trabajo de la Administración de red y aumenta el grado de
seguridad informática.

Sin embargo, su implantación presenta también dificultades como superar la naturaleza heterogénea de
diferentes redes, plataformas, bases de datos y aplicaciones y su coste.

En el sistema de autenticación básico de usuario y contraseña, la seguridad del sistema se basa

únicamente en un factor del conocimiento por lo que cualquier persona que consiga hacerse con esa
información podrá suplantar al usuario legítimo. Para solventar esta deficiencia se ha creado el concepto
de la seguridad basada en dos factores.

Estos factores son:

• Algo que sé. Es decir, algo que se mantiene en secreto y sólo debe conocer el usuario legítimo (la
contraseña). Este primer factor, se combina con uno de los dos siguientes.

• Algo que tengo. Se basa en la posesión física de un objeto que permite la autentificación, el ejemplo
más común sería una tarjeta inteligente de acceso.

• Algo que soy. Se basa en que el sistema es capaz de reconocer a la persona en sí misma, de la misma
forma que las personas pueden reconocer a otras por su voz o su cara. Los sistemas informáticos
pueden incorporar sistemas biométricos para identificar al usuario.

4.5.1. Algo que tengo

La principal ventaja de la autentificación basada en la posesión de un objeto es que al contrario que
una contraseña, nos la deben sustraer físicamente y por tanto nos daremos cuenta de que otra persona
puede tenerla.

El caso más típico de este tipo de autentificación lo constituyen las tarjetas de crédito, para su uso en los
cajeros automáticos se necesita de dos factores, la posesión de la tarjeta y el conocimiento del código
PIN.

Existen diversas soluciones del tipo dos factores, por ejemplo los token criptográficos (dispositivos
electrónicos que se facilitan al usuario para su autenticación) o las password de un solo uso. Este tipo de
sistemas deberían adoptarse en el ámbito de una Organización en todos aquellos sistemas que contengan
información de carácter sensible.

También se pueden usar las tarjetas inteligentes las cuales llevan incorporado un chip que contiene,
normalmente protegido con criptografía, credenciales que permiten conectarse a un sistema.

Las tarjetas inteligentes tienen gran flexibilidad, pues son pequeños ordenadores en sí mismos, y pueden
realizar tareas de autentificación, firma electrónica, monedero electrónico, etc.

El principal inconveniente es que sólo se puede realizar una conexión desde un sistema que disponga de
lector de tarjetas.
 4.5.2. Algo que soy
Los controles de acceso biométricos son el mejor medio de autenticar la identidad de un usuario con
base a un atributo o rasgo único mensurable del ser humano.

• Ventaja: permiten no tener que llevar encima ningún objeto.

• Inconvenientes:

• Necesitan hardware especializado y caro.

• En ocasiones son intrusivos con los usuarios.

• Tienen altos índices de falsos positivos/negativos.

• No existe un soporte estandarizado por lo que están quedando relegados a aplicaciones de nicho.

a) Existen de diversos tipos:Basados en características físicas (orden efectividad):

• Palma

• Geometría de la mano

• Iris: Patrones asociados a los colores que rodean las pupilas. Ventaja: No es necesario contacto con
el dispositivo

Desventaja: Altos costos en comparación con otras tecnologías

• Retina: Mapeo del patrón de capilaridad de la retina

Ventaja: Altamente confiable y tasa más baja de aceptación falsa de todos los biométricos.

Desventajas: Contacto físico bastante estrecho, alto costo

• Huella dactilar: Ventajas: Bajo costo, tamaño pequeño del dispositivo

Desventajas: Contacto físico con el dispositivo, posibilidad de imágenes de baja calidad.

• Rostro Procesa una imagen captada por video. Ventaja: Natural y amigable, rápido y fácil de usar

• Desventaja: Falta de exclusividad

b) Basados en patrones de conducta:

• Reconocimiento de Firma

Ventajas: Rápido, fácil de usar y de bajo coste

Inconveniente: Dificultad de captar la singularidad de una firma en situaciones particulares.

• Reconocimiento de la voz

41
 Ventajas: Puede ser usado en aplicaciones telefónicas y tiene una alta tasa de aceptación entre
usuarios.

Desventajas: Requerimientos de almacenamiento, cambios en la voz de las personas, grabaciones

clandestinas, ruidos de fondo.

Común a muchos de estos sistemas es el uso de protocolos de cifrado, principalmente para asegurar la
información durante su transmisión.

La criptografía es la ciencia que estudia formas de proveer de autentificación, confidencialidad, integridad.

• La autenticación provee medios técnicos para asegurar que una persona es quien dice ser, que un
mensaje proviene de quien dice remitirlo, etc.

• La confidencialidad asegura, que solo el receptor y el emisor de una comunicación tienen capacidad
para leer la información transmitida (normalmente mediante el uso de una clave empleada para
cifrar la información).

• La integridad provee medios para asegurar que una información no ha sido modificada durante su
transmisión.

La criptografía aplicando prácticamente estos objetivos ha dado lugar a soluciones aplicables en multitud
de aspectos de las tecnologías de la información:

• Firma digital, que se trata en profundidad en otro Módulo de este Manual.

• Almacenamiento seguro de información, que forma parte de los requerimientos de la LOPD para el
almacenamiento de datos de carácter personal de todos los niveles excepto el más básico.

• Transmisión segura de información a través de redes, ampliamente utilizada en la actualidad en

multitud de protocolos y servicios de Internet.

• Sistemas de detección de alteración de ficheros.

• Sistemas seguros de autenticación, como los token.

4.6. Prevención de fuga de información

Frente a la amenaza interna de empleados desleales que filtran información por motivos económicos o
ideológicos, la forma más adecuada de evitarlo son los sistemas de prevención de fuga de información,
también denominados DLP (Data Loss Prevention). Una vez más, se trata de una solución que se ha
de poner en contexto en la organización a la que se quiere aplicar. Se ha de determinar primero qué
información es la que queremos proteger porque la hemos clasificado como crítica y quién y cómo debe
tener acceso a ella. Una vez hecho esto, se implantará la solución DLP más adecuada para nuestro caso.
Con estas soluciones los trabajadores pueden utilizar la información a la que están autorizados a acceder
para los fines específicos de su trabajo. Si realizan algún tipo de acción que se haya considerado como
indebida (sacar esa información a través de un puerto USB, enviarla por correo electrónico personal,
imprimirla, etc.) no se le permitirá. Si se desea, se puede permitir pero para controlar el destinatario del
acto fraudulento.

Hay distintos tipos de soluciones DLP:

• Network DLP: Solución instalada en los puntos perimetrales de la red para analizar si el tráfico
contiene datos previamente determinados como sensibles de acuerdo con la política de seguridad
de la organización.

• Storage DLP: Solución desplegada en Centros de Proceso de Datos (CPD) para descubrir si información
confidencial se ha almacenado de forma insegura.
• Endpoint DLP: Solución para instalar en los puestos de trabajo o servidores de la organización.

4.7. Back up (respaldo de la información)

Es fundamental contar con una buena política de copias de seguridad o backups, de forma que han de
incluirse copias de seguridad completas (los datos son almacenados en su totalidad la primera vez) y
copias de seguridad incrementales (sólo se copian los ficheros creados o modificados desde el último
backup). Es vital para las empresas elaborar un plan de backup en función del volumen de información
generada y la cantidad de equipos críticos.

Un buen sistema de respaldo debe contar con ciertas características indispensables:

• Continuo: El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de
forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.

• Seguro: Incluyendo el cifrado de datos.

• Remoto: Los datos deben quedar alojados en dependencias alejadas de la empresa.

• Mantenimiento de versiones anteriores de los datos.

Se debe contar con un sistema que permita la recuperación de versiones diarias, semanales y mensuales
de los datos de acuerdo con el nivel de criticidad que hayamos determinado que tiene la información a
respaldar.

Actualmente han quedado atrás aquellos sistemas de almacenamiento de backup como eran los cds,
pendrives o copias a un servidor que se encontraba en las mismas instalaciones y se ha dado paso a
nuevos sistemas de almacenamiento en internet (nube) a través de los llamados backup on line. La
mayoría de los sistemas modernos de respaldo de información online cuentan con las máximas medidas
de seguridad y disponibilidad de datos. Estos sistemas permiten a las empresas crecer en volumen de
información sin tener que estar preocupados de aumentar su dotación física de servidores y sistemas de
almacenamiento.

43
EUDE. Escuela Europea de Dirección y Empresa
C/Arturo Soria, 245 - Edificio EUDE C/98 # 9A - 41 Oficina 204
CP: 28033. Madrid, España. Bogotá DC, Colombia.
Tel: + 34 91 593 15 45 Tel: + +57 163 524 97
e-mail: [email protected] e-mail: [email protected]

www.eude.es