Scribd
Cargar
144 vistas134 páginas

Unidad 1 Seguridad Informática URJC

Temario correspondiente a la asignatura de Seguridad Informática del grado de Ingeniería Informática URJC

Cargado por

Alejandro Haba
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
144 vistas134 páginas

Unidad 1 Seguridad Informática URJC

Temario correspondiente a la asignatura de Seguridad Informática del grado de Ingeniería Informática URJC

Cargado por

Alejandro Haba
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Introducción a la

seguridad Informática
UNIDAD 1: CONCEPTOS Y DEFINICIONES. NORMATIVA
CURSO 2023-2024

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 1


Índice
• Introducción.
•Los pilares de la seguridad.
•Modelos conceptuales y dominios.
•El factor humano. Políticas y procedimientos.
•Legislación Vigente.
•Centro Criptográfico Nacional (CCN)

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 2


Introducción

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 3


Introducción - Definiciones
Seguridad de la información: Es el conjunto de medidas preventivas y reactivas de las organizaciones y
de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma.

Ciberseguridad
o
Seguridad Informática

Seguridad de la información

Sistemas de Almacenamiento

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 4


Introducción - Definiciones
Seguridad de la Información
•Activos.
•Riesgos.
•Amenazas.
•Salvaguardas.
•Tipos de Riesgos.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 5


Introducción - Definiciones
Seguridad de la Información
• Activos:
• Son recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione
correctamente y alcance los objetivos propuestos por la dirección.
• Identificar propietario y quién lo gestiona (valorar).
• Tangibles o intangibles que posee una empresa o persona.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 6


Introducción - Definiciones
Seguridad de la Información:
• Activos:
• Son recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione
correctamente y alcance los objetivos propuestos por la dirección.
• Identificar propietario y quién lo gestiona (valorar).
• Tangibles o intangibles que posee una empresa o persona.

• Riesgos:
• Es la probabilidad de que se produzca un impacto en un activo. En función del impacto (pérdidas) que puede
provocar un incidente de seguridad y las probabilidades de ocurrencia asociadas será catalogado de una u otra
manera.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 7


Introducción - Definiciones
Seguridad de la Información:
• Amenazas:
• Son eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas
inmateriales en sus activos.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 8


Introducción - Definiciones
• Amenazas:
• Son eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas
inmateriales en sus activos.

• Salvaguarda:
• Es un mecanismo de protección frente a las amenazas, reducen la frecuencia de las amenazas y limitan el daño
causado por estas. Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. A esto se le conoce
como controles o salvaguardas.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 9


Introducción - Definiciones
Seguridad de la Información:
•Tipos de riesgos:
• Potencial, Inicial o Intrínseco: Antes de aplicar las salvaguardas.
• Efectivo: El que se da tras la aplicación de las salvaguardas.
• Residual: Siempre permanecerá aunque tengamos todas las salvaguardas aplicadas.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 10


Introducción - Definiciones

Ciberseguridad
o
Seguridad Informática

Seguridad de la información

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 11


Introducción - Definiciones
Seguridad Informática: (Diversas definiciones)
•(Def 1) El conjunto de servicios y mecanismos que aseguran la integridad y privacidad de la
información que los sistemas manejan.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 12


Introducción - Definiciones
Seguridad Informática: (Diversas definiciones)

•(Def 1) El conjunto de servicios y mecanismos que aseguran la integridad y privacidad de la


información que los sistemas manejan.
(Def 2) El conjunto de servicios, mecanismos y políticas que aseguran que el modo de operación
de un sistema sea seguro.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 13


Introducción - Definiciones
Seguridad Informática: (Diversas definiciones)

•(Def 1) El conjunto de servicios y mecanismos que aseguran la integridad y privacidad de la


información que los sistemas manejan.
•(Def 2) El conjunto de servicios, mecanismos y políticas que aseguran que el modo de operación
de un sistema sea seguro.
•(Def 3) El conjunto de protocolos y mecanismos que aseguran que la comunicación entre los
sistemas esté libre de intrusos.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 14


Introducción – Ámbito de la Seguridad
Informática
En una sociedad tecnológica y en red como la actual, la Seguridad Informática afecta
prácticamente a todas las facetas de la vida cotidiana de personas y organizaciones.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 16


Introducción – Ámbito de la Seguridad
Informática
En una sociedad tecnológica y en red como la actual, la Seguridad Informática afecta
prácticamente a todas las facetas de la vida cotidiana de personas y organizaciones.
Cada día más dispositivos se conectan a la red, lo que provoca que la Seguridad Informática esté
prácticamente en todas las ramas de la tecnología.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 17


Introducción – Seguridad de las
comunicaciones
Internet y las comunicaciones, por defecto, van en claro.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 19


Introducción – Importancia creciente de
la seguridad
La proliferación de ciertos modelos de negocio, paradigmas y disciplinas hacen que la
importancia de la seguridad sea cada vez mayor.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 21


Introducción – Importancia creciente de
la seguridad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 22


Introducción – Importancia creciente de
la seguridad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 23


Introducción – Importancia creciente de
la seguridad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 24


Introducción – Importancia creciente de
la seguridad
Evolución del cibercrimen

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 25


Introducción – Importancia creciente de
la seguridad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 26


Introducción – Importancia creciente de
la seguridad
Ejemplo del problema de no dar importancia a la Seguridad Informática.
•21 Octubre 2016 Twitter, Spotify, Ebay, Netflix, Amazon, The New York Times.
•Se usó para el ataque una Botnet de dispositivos IoT.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 27


Introducción - Seguridad Basada en el
perímetro
La seguridad informática clásica se centraba en la prevención, basada casi por completo en la
protección del perímetro.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 29


Introducción - Seguridad Basada en el
perímetro
Hoy el perímetro es difuso, ya no es tan sencillo de proteger.

Acceso
remoto

SOA Cloud

Mobile y Big Data y


BYOD analítica

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 30


Introducción - Cibercrimen

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 32


Introducción - Cibercrimen
Y además existe un “mercado” de vulnerabilidades y multitud de modelos de negocio en torno al
ciberfraude, el cibercrimen y el ciberterrorismo.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 33


Introducción – Ciclo de la Ciberseguridad

Respuesta Prevención

Detección

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 35


Introducción – Compromiso de la
seguridad (Seguridad Absoluta)
La seguridad absoluta es imposible:

Photofest: 1996's 'Mission: Impossible'

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 37


Introducción – Compromiso de la
seguridad
15
La seguridad absoluta es imposible:
10
•Si nos obsesionas con la seguridad para evitar las amenazas menos frecuentes, se dispara el
coste en Seguridad. 5

Photofest: 1996's 'Mission: Impossible'

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 38


Introducción – Compromiso de la
seguridad (Seguridad Absoluta)
15
La seguridad absoluta es imposible:
10
•Si nos obsesionas con la seguridad para evitar las amenazas menos frecuentes, se
dispara el coste en Seguridad. 5

•Tampoco podemos no invertir en seguridad. 0

Photofest: 1996's 'Mission: Impossible'

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 39


Introducción – Compromiso de la
seguridad (Seguridad Absoluta)
15
La seguridad absoluta es imposible:
10
•Si nos obsesionas con la seguridad para evitar las amenazas menos frecuentes, se
dispara el coste en Seguridad. 5

•Tampoco podemos no invertir en seguridad. 0

•SE BUSCA EL EQUILIBRIO.

Photofest: 1996's 'Mission: Impossible'

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 40


Introducción – Compromiso de la
seguridad (Seguridad Absoluta)
No siempre hay que basarse en el tema económico.
Hay organizaciones que no se pueden guiar por datos económicos. Por ejemplo los sistemas
militares.
Tenderán a un grado máximo de seguridad, aunque suponga disparar los costes.

Photofest: Globb Security, desiree Rodriguez

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 41


Introducción – Compromiso de la
seguridad (Paranoico de la Seguridad)

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 42


Introducción – Compromiso de la
seguridad
Las medidas de seguridad deben ser proporcionales a los riesgos.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 43


Introducción – Compromiso de la
seguridad
Se debe llegar a un compromiso entre nivel de seguridad, coste, funcionalidad y usabilidad.

Seguridad Funcionalidad

COSTE

Facilidad de uso
SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 44
Introducción – Estrategias de
Ciberseguridad
Mínimo privilegio
Mínima superficie de exposición
Defensa en profundidad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 46


Introducción – Estrategias de
Ciberseguridad
Mínimo privilegio
Mínima superficie de exposición
Defensa en profundidad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 47


Introducción - ¿Qué debemos proteger?

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 49


Introducción - ¿Qué debemos proteger?
No solo hay que proteger información
La Seguridad Informática no tiene que ver sólo con la información, sino con todo tipo de activos
informáticos y tecnológicos, e incluso con intangibles.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 50


Introducción - ¿Qué debemos proteger?

Photofest: webblog: prunellblog, Artículo: El gusano Stuxnet

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 51


Introducción - ¿Qué debemos proteger?

Photofest: Noticia de “EL PAIS” de


Claudi Pérez 26 de Marzo de 2016
Photofest: Noticia de “EL PAIS” de
Beatriz Guillén 10 de Noviembre de 2016

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 52


Introducción - ¿Qué debemos proteger?

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 53


Introducción – Niveles de la seguridad
Informática

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 55


Introducción – Niveles de la seguridad
Informática

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 56


Introducción – Niveles de la seguridad
Informática

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 57


Los tres pilares de la
Seguridad Informática

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 58


Los tres pilares de la Seguridad
Informática (Pilares principales)

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 59


Los tres pilares de la Seguridad
Informática (Pilares principales)
•Confidencialidad: Consistente en que la
información ni se pone a disposición, ni se
revela a individuos, entidades o procesos no
autorizados.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 60


Los tres pilares de la Seguridad
Informática (Pilares principales)
•Confidencialidad: Consistente en que la
información ni se pone a disposición, ni se
revela a individuos, entidades o procesos no
autorizados.
•Integridad: Consistente en que el activo de
información no ha sido alterado de manera no
autorizada.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 61


Los tres pilares de la Seguridad
Informática (Pilares principales)
•Confidencialidad: Consistente en que la
información ni se pone a disposición, ni se
revela a individuos, entidades o procesos no
autorizados.
•Integridad: Consistente en que el activo de
información no ha sido alterado de manera no
autorizada.
•Disponibilidad: Consistente en que las
entidades o procesos autorizados tienen
acceso a los activos cuando lo quieren.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 62


Los tres pilares de la Seguridad
Informática - Confidencialidad
La Privacidad es la capacidad de otorgar a los individuos
control total o parcial sobre qué información relacionada con
ellos puede ser recogida, almacenada o desvelada.
La pérdida de confidencialidad supone una revelación no
autorizada de información.
Conceptos:
• Privacy by desing (Privacidad por decisión): Se basa en que para
preservar la privacidad no es suficiente con cumplir los marcos
regulatorios o legislativos que apliquen. Hay que considerar la
privacidad desde el punto de vista conceptual, como una
característica intrínseca, inseparable del funcionamiento habitual
de una organización, en todas las actividades que desarrolla.
• Privacy by default (Privacidad por defecto): que si una la
persona no toma una acción, si no se preocupa o establece su
propia privacidad de manera explícita, aun así se debe mantener.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 63


Los tres pilares de la Seguridad
Informática - Integridad
La pérdida de integridad supone la destrucción o modificación de información.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 64


Los tres pilares de la Seguridad
Informática – Disponibilidad
La pérdida de disponibilidad hace imposible acceder o usar la información cuando se desea.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 65


Los tres pilares de la Seguridad
Informática – Los otros tres pilares
•Trazabilidad: Consiste en crear las
herramientas necesarias para que se pueda
Seguridad
trazar todos los movimientos realizados.

Confidencialidad

Disponibilidad
Integridad
Trazabilidad

No repudio
Autenticidad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 66


Los tres pilares de la Seguridad
Informática – Los otros tres pilares
•Trazabilidad: Consiste en crear las
herramientas necesarias para que se pueda
Seguridad
trazar todos los movimientos realizados.

Confidencialidad
•No repudio: Consiste una autenticación que

Disponibilidad
Integridad
con alto grado de aseguramiento no pueda ser
desmentida.

Trazabilidad

No repudio
Autenticidad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 67


Los tres pilares de la Seguridad
Informática – Los otros tres pilares
•Trazabilidad: Consiste en crear las
herramientas necesarias para que se pueda
Seguridad
trazar todos los movimientos realizados.

Confidencialidad
•No repudio: Consiste una autenticación que

Disponibilidad
Integridad
con alto grado de aseguramiento no pueda ser
desmentida.
•Autenticidad: consiste en que una entidad es
quien dice ser o bien que garantiza la fuente
de la que proceden los datos. Trazabilidad

No repudio
Autenticidad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 68


Los tres pilares de la Seguridad Informática –
¿Cuál es el más importante?
Además la perdida de uno de ellos suele implicar la perdida también, al menos parcialmente, de
los otros. Por ejemplo:

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 69


Modelos conceptuales y
dominios

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 70


Modelos conceptuales y dominios
La Seguridad Informática es un campo cada vez más amplio que involucra a diferentes niveles de
una estructura TIC.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 71


Modelos conceptuales y dominios
Por este motivo suelen proponerse modelos conceptuales que tengan en cuenta diferentes
dominios. Estudiando por separado:
◦ Riesgos.
◦ Amenazas.
◦ Vulnerabilidades.
◦ Contramedidas.

Existen modelos que abordan el problema de manera más o menos general. Asociados a:
◦ Metodologías.
◦ Herramientas específicas.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 72


Modelos conceptuales y dominios – Los
siete dominios

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 73


El factor humano.
Políticas y
procedimientos

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 74


El factor humano.
Políticas y procedimientos
El componente más débil en cualquier infraestructura TIC suele ser el factor humano, ya que
suele implicar los mayores riesgos y amenazas.

David Castillo Dominici [Link]

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 75


El factor humano. Políticas y
procedimientos – Amenazas Internas
Los atacantes externos no siempre son la causa de los peores problemas de seguridad. En
muchos casos basta con usuario interno malintencionado, mal formado o simplemente
descuidado.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 76


El factor humano. Políticas y
procedimientos – Amenazas Internas
“Usted puede tener la mejor tecnología, firewalls, sistemas de detección
de ataques, dispositivos biométricos. Lo único que se necesita es una
llamada a un empleado desprevenido y acceden al sistema sin más.
Tienen todo en sus manos".
Kevin Mitnick

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 77


El factor humano. Políticas y
procedimientos – Amenazas Internas
Edward Snowden, consultor tecnológico estadounidense, informante, antiguo empleado de la
CIA y de la NSA. En 2013 hizo públicos documentos clasificados como alto secreto sobre varios
programas de la NSA, incluyendo los programas de vigilancia masiva PRISM y XKeyscore.

Bradley Manning, exsoldado y analista de inteligencia del ejército de Estados Unidos. En 2010
filtró a Wikileaks miles de documentos clasificados de las guerras de Afganistan e Irak,
incluyendo cables diplomáticos de embajadas estadounidenses y el vídeo del ejército conocido
como “Collateral murder”.

Hervé Falciani, ingeniero de sistemas italo-francés que trabajó en reforzar la seguridad de la


filial suiza del banco HSBC entre 2001 y 2008. En ese periodo logró sustraer información de
hasta 130.000 evasores fiscales ( “lista Falciani”) y que es utilizada por la justicia de varios
países para luchar contra el fraude fiscal.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 78


El factor humano. Políticas y
procedimientos – Amenazas Internas
Otras veces somos nosotros los que por descuido…
•En junio de 2015 el ejército de los Estados Unidos bombardeó un cuartel general del Estado
Islámico que fue localizado gracias a la publicación de un “selfie” de uno de los miembros de
dicha organización.
•[Link] localiza las viviendas de miles de gatos (y por tanto de sus dueños)
en el mundo gracias a los metadatos de geolocalización de las fotografías que sus dueños
publican en Internet.
•En 2005 se detuvo al asesino en serie de Wichita conocido como BTK que asesinó a 10 personas
entre 1974 y 1991. Para su arresto fue fundamental la información recuperada de los metadatos
de un documento en Word que estaba en un disquete que el propio asesino envió a una cadena
de televisión y que no había borrado de forma segura.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 79


El factor humano. Políticas y
procedimientos – Amenazas Internas
Casi todos los ciberataques aprovechan en algún momento el factor humano, sobre todo en las
primeras fases del ataque para recoger información sobre el objetivo o para lograr acceder o
instalar algún malware o troyano. Una vez dentro, el ataque prosigue hasta que es detectado, y
normalmente pasan años hasta que esto ocurre.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 80


El factor humano. Políticas y
procedimientos - Phishing
Pueden pasar dentro de una organización o fuera en la
vida privada
Phishing Correo (ejemplo):

En el link nos redireccionan a un formulario donde nos


solicitan los datos

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 81


El factor humano. Políticas y
procedimientos – Amenazas Internas
Pueden pasar dentro de una organización o fuera en la vida privada

Smishing (ejemplo):

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 82


El factor humano. Políticas y
procedimientos – Amenazas Internas
Pueden pasar dentro de una organización o fuera en la vida privada
Casos de software que instala software malicioso en el PC, por ejemplo
ransomware.
Por ejemplo usar un correo de una entidad confiable, de donde puedas
aceptar descargar un archivo y ejecutar dicho archivo y este archivo
empieza a cifrar el disco, carpetas de red que tengas mapeadas en el
equipo y al terminar de cifrar el sistema restringe el acceso a la
información y exige el pago de un rescate.
Ejemplo de este tipo de Virus:
•WannaCry.
•Petya.
•Cryptolocker.
•Cerber.
•Locky.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 83


El factor humano. Políticas y procedimientos –
Amenazas Internas - Errores Humanos –
Publicación de contraseñas - España

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 84


El factor humano. Políticas y procedimientos –
Amenazas Internas - Errores Humanos –
Publicación de contraseñas - Brasil

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 85


El factor humano. Políticas y procedimientos –
Amenazas Internas - Errores Humanos –
Publicación de contraseñas - EEUU

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 86


El factor humano. Políticas y procedimientos –
Responsable de Seguridad Informática
Director Ejecutivo de la Organización

Director Ejecutivo de Información


Director Ejecutivo de Seguridad

Director Ejecutivo de Tecnología


Director de seguridad de la información

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 87


El factor humano. Políticas y procedimientos –
Responsable de Seguridad Informática

Incibe Articulo: CEO, CISO, CIO… ¿Roles en ciberseguridad?

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 88


El factor humano. Políticas y procedimientos –
Responsable de Seguridad Informática
CSO (Chief Security Officer) Director Ejecutivo de Seguridad
Responsable de la seguridad de la organización (seguridad corporativa).
CISO (Chief Information Security Officer) Director de seguridad de la información

Rol desempeñado a nivel ejecutivo y su función principal es la de alinear la seguridad de la información


con los objetivos de negocio, garantizando que la información de la empresa esté protegida
adecuadamente.

En organizaciones pequeñas CSO y CISO pueden ser la misma persona, pero el rol del CISO suele
estar más centrado en aspectos de seguridad de la información.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 89


El factor humano. Políticas y procedimientos –
Responsable de Seguridad Informática
Una de las responsabilidades del CSO y CISO suele ser definir un entorno de políticas y
procedimientos que intenten gestionar el factor humano (con gran importancia en la formación
y concienciación).

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 90


El factor humano. Políticas y procedimientos –
Plan director de Seguridad
El CISO debe:
Implementar:
El Sistema de Gestión de la Seguridad de la Información (SGSI), pudiendo seguir estándares como el ISO/IEC
27001:2005.
El Plan Director de Seguridad consiste en “la definición y priorización de un conjunto de proyectos en materia
de seguridad de la información dirigido a reducir los riesgos a los que está expuesta la organización hasta unos
niveles aceptables”.

Definir:
Debe definir las obligaciones y buenas prácticas de seguridad que deberán cumplir los trabajadores de la
organización así como terceros que colaboran con ésta, es decir, las políticas de seguridad.
Un Sistema de Gestión de la Seguridad de la Información es un marco de trabajo compuesto de
documentación, personas y controles en un proceso constante de mejora continua cuyo objetivo es la
preservación de la confidencialidad, integridad y disponibilidad de la información a través de la
implantación, seguimiento, auditoría y mejora de controles.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 91


El factor humano. Políticas y procedimientos –
Plan director de Seguridad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 92


El factor humano. Políticas y
procedimientos – Políticas de Seguridad
Política de Seguridad (RFC 2196): Declaración formal de las reglas que las personas que tienen
acceso a la tecnología e información de una organización deben seguir, con el principal objetivo
de informar a esos usuarios, empleados y gestores de sus obligaciones para proteger los activos
de la organización.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 93


El factor humano. Políticas y
procedimientos – Políticas de Seguridad
Política: Enunciado corto que se aplica a toda la organización y
que proporciona una línea de acción desde la dirección. Suele
definir un conjunto de reglas.
Deben estar bien documentadas y bien comunicadas.
NO VALE DE NADA UNA BUENA POLÍTICA SI NO SE USA Y/O
NO SE DIFUNDE Y NO SE FORMA A LOS EMPLEADOS
CORRECTAMENTE.
Hay una relación jerárquica entre ellas.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 94


El factor humano. Políticas y
procedimientos – Políticas de Seguridad
Estándares: Traducción de las políticas a
detalles concretos de uso de HW y SW. Se
definen Activos.
Procedimientos: Instrucciones concretas
acerca de cómo cumplir las políticas teniendo
en cuenta los estándares. Suelen definir
planes de instalación, testeo, administración,
configuración, etc. (Planes de Seguridad).
Guías y mejores prácticas: Completan a los
procedimientos con sugerencias que no son de
obligado cumplimiento pero que pueden
mejorar el nivel de cumplimiento de objetivos,
facilitar el trabajo de administradores y
usuarios, etc.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 95


El factor humano. Políticas y
procedimientos – Políticas de Seguridad
Ejemplos de Políticas de Seguridad:
Acceptable Use Policy (AUP)
Define lo que la organización permite y no permite hacer a los empleados con los activos que le
pertenecen (User Domain).

Security Awareness Policy


Especifica cómo se asegura que el personal tiene la conciencia necesaria acerca de SI (User Domain).

Asset Classification Policy


Define cómo se realiza el inventario y clasificación de los activos de la organización en los siete dominios
en función de su criticidad para el funcionamiento de la organización.

Vulnerability assessment and management


Define una ventana de vulnerabilidades en la organización para el sistema operativo y las aplicaciones
software.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 96


El factor humano. Políticas y procedimientos –
Política de Seguridad- SGSI (Sistema de
Gestión de la Seguridad de la Información)
Principales factores del éxito de un SGSI:
• Diseño e implementación de una seguridad orientada al negocio.
• Implementar la seguridad en consonancia con la cultura de la empresa.
• Apoyo visible y compromiso de la Dirección.
• Buen entendimiento de los requisitos de seguridad.
• Gestión de los riesgos.
• Convencer de la necesidad de la seguridad a directivos y empleados.
• Proveer de formación.
• Sistema de medición para evaluar el rendimiento.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 97


El factor humano. Políticas y procedimientos –
Política de Seguridad- ISO/IEC 27001
Define como es el SGSI, como se gestiona y cuales son las responsabilidades de los participantes.
Gestión de riesgos + Mejora continua.
Sigue el modelo PDCA (ciclo de Deming)

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 98


El factor humano. Políticas y procedimientos –
Política de Seguridad- ISO/IEC 27001
Fases del Modelo PDCA
•Establecer el SGSI (PLAN)
•Implementación y gestión del SGSI (DO)
•Monitorización y revisión del SGSI (CHECK)
•Mantenimiento y mejora del SGSI (ACT)

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 99


El factor humano. Políticas y procedimientos –
Política de Seguridad- ISO/IEC 27001
Establecer el SGSI (PLAN):

Establecer la política, objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejora de la
seguridad de la información de la organización.

Implementación y gestión del SGSI (DO):

Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 100


El factor humano. Políticas y procedimientos –
Política de Seguridad- ISO/IEC 27001
Monitorización y revisión del SGSI (CHECK):

Medir y revisar las prestaciones de los procesos del SGSI.

Mantenimiento y mejora del SGSI (ACT):


Adoptar acciones correctivas y preventivas basadas en auditorias y revisiones internas o en otra
información relevante a fin de alcanzar la mejora continua del SGSI.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 101


El factor humano. Políticas y procedimientos –
Política de Seguridad- ISO/IEC 27001

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 102


El factor humano. Políticas y procedimientos –
Política de Seguridad- ISO/IEC 27001
Esta política debe especificar las acciones que regirán las actividades de seguridad de la
organización. Además, debe recoger los objetivos y responsabilidades de los diferentes
participantes en la gestión de la seguridad.
Específica el alcance del SGSI, indicando el ámbito, es decir, si afecta a toda la organización, si su
ámbito queda restringido a departamentos en concreto, depende del alcance del SGSI.
Se definen los roles de los participantes en la política y lo que realiza cada uno. Se añade que
deben existir comités(1 Directivo, 1 Seguridad y 1 operativo de Seguridad).
Una política de seguridad establece un estándar de seguridad a los Usuarios, la Dirección y el
personal técnico.
Esta política es el eje principal para construir un sistema de gestión de la seguridad de la
información fijando las bases para las políticas y los procedimientos a seguir por la organización.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 103


El factor humano. Políticas y
procedimientos – Política de Seguridad
Por muy buena que sea una política de seguridad no vale de nada:
• Si no se comunica al personal la existencia de la política de seguridad y en que consiste.
• Si no se forma al personal.
• Si una vez formado, no se hacen repasos cada X tiempo o si no se forma a los trabajadores cuando
cambian, actualiza o se modifica algún aspecto de la política de seguridad.
• Si no se hacen pruebas cada X tiempo para ver que el personal sabe lo que tiene que hacer en cada
caso. (Auditorias).
• Si no se revisa y actualiza periódicamente.
• Si se detectan problemas, vulnerabilidades o fallas y no se corrigen.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 106


Legislación Vigente

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 107


Legislación Vigente
Las políticas y procedimientos son esenciales para garantizar el cumplimiento de las normativas
y legislación relativas a la seguridad y a los delitos informáticos.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 108


Legislación Vigente – Delito Informático
Un delito informático o ciberdelincuencia es toda aquella acción, típica, antijurídica y culpable,
que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios
electrónicos y redes de Internet.

Freedooom [Link]

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 109


Legislación Vigente – Delito Informático
Delitos que tienen como objetivo equipos o redes de
computadores, por ejemplo spam, propagación de malware
o robo de información.
Delitos realizados por medio de ordenadores y de Internet,
por ejemplo, espionaje, fraude y robo, acoso o pornografía
infantil.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 110


Legislación Vigente – Delito Informático
Ejemplos:
1. El sistema de pago online PayPal ha visto cómo su sistema
de autenticación de doble factor tenía un fallo que
permitiría a un atacante acceder a sus 143 millones de
cuentas. El agujero de seguridad se encontraba en su
versión para móviles.
2. El ransomware “Virus de la Policía” también ha
protagonizado el último mes, destacando Simplocker, una
amenaza que es capaz de bloquear nuestro dispositivo y
mostrar mensajes amenazantes para conseguir que
paguemos un rescate. De hecho, últimamente, se hace
pasar por una notificación del FBI para conseguir que la
víctima muerda el anzuelo.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 111


Legislación Vigente – Delito Informático
Ejemplos:

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 112


Legislación Vigente – Delito Informático
Ejemplos:
3. WannaCry. El 12 de mayo un ataque masivo de
ransomware apodado WannaCry afectó a empresas
particulares (grandes corporaciones) de todo el mundo y
organismos públicos. Las más perjudicadas fueron el
Servicio de Salud Británico, la multinacional francesa
Renault, el sistema bancario ruso, el grupo de mensajería
FedEx, el servicio de ferrocarriles alemanes y
universidades de Grecia e Italia.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 113


Legislación Vigente – Delito Informático
Ejemplos:

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 114


Legislación Vigente – Legislación Europea
En 2001 se firma el “convenio sobre la ciberdelincuencia” o “Convenio
de Budapest sobre la ciberdelincuencia” o “Convenio de Budapest”.
Establece un marco común en el que constituyen un delito informático
todos aquellos delitos contra la confidencialidad, la integridad y la
disponibilidad de los datos y sistemas informáticos.
Como cada vez existían más problemas con la determinación de la
jurisdicción competente (Cloud, móviles, redes sociales…), la legislación
en Europa ha ido evolucionando.

José Enrique Anguita Osuna. Análisis histórico-jurídico de la lucha contra


la ciberdelincuencia en la Unión Europea.

[Link]

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 116


Legislación Vigente – Legislación Europea
– Centro Europeo de Ciberdelincuencia
Conocido como EC3 o 𝐸𝐶 3 creado por Europol en
2013
El objetivo reforzar la respuesta de las autoridades
policiales a la ciberdelincuencia en la UE y así
ayudar a proteger a los ciudadanos, empresas y
gobiernos europeos de la delincuencia en
línea.(Teniendo su sede en La Haya, en la se de
Europol).

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 117


Legislación Vigente – Legislación Europea
Octubre de 2017: El Consejo Europeo solicitó la adopción de un planteamiento común de la
ciberseguridad en la UE tras el conjunto de medidas de reforma propuesto por la Comisión
Europea en septiembre, basadas en la Estrategia de Ciberseguridad y en la Directiva sobre
seguridad de las redes y sistemas de información (Directiva SRI).
La propuesta presenta nuevas iniciativas, como:
• La creación de una Agencia de ciberseguridad de la UE más fuerte (sustituyendo a ENISA).
• La introducción de un régimen de certificación de la ciberseguridad a escala de la UE
• La rápida aplicación de la Directiva SRI

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 118


Legislación Vigente
La Directiva SRI (Directiva sobre seguridad de las redes y sistemas de información) (Julio de
2016) exige a los estados miembros, operadores de servicios esenciales (en sectores
fundamentales como la energía, el transporte, la sanidad y las finanzas) y los proveedores de
servicios digitales proteger el entorno digital para hacer que sea seguro y fiable. (Redes sociales,
comercio electrónico, servicios cloud, etc).
En diciembre de 2017 se crea el Equipo de Respuesta a Emergencias Informáticas (CERT-UE) de
carácter permanente, asegurando una respuesta coordinada frente a los ciberataques dirigidos
contra todas las instituciones, órganos y organismos de la UE.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 119


Legislación Vigente – Legislación
Española

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 120


Legislación Vigente – Legislación
Española
Delitos recogidos en el Código Penal (I):
Descubrimiento y revelación de secretos: Art. 197
Espionaje informático empresarial: Art. 278
Daños informáticos o sabotaje: Art. 264.2
Pornografía infantil: Art. 189
Calumnia: Art.s 205 y 206
Injuria: Art. 208 y 209
Calumnias e injurias hechas con publicidad: Art. 211
Delito tradicional de daños: Art. 263

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 121


Legislación Vigente – Legislación
Española
Delitos recogidos en el Código Penal (II):
Hurto: Art. 234
Robo: Art. 237
Defraudaciones de fluido eléctrico: Art. 255
Defraudación a través de equipo terminal de comunicaciones: Art. 256
Delitos contra la propiedad intelectual: Art. 270
Delitos contra la propiedad industrial: Art. 273
Publicidad ilícita: Art. 282
Falsedad de documento público: Art. 390
Falsedad de documento privado: Art. 395

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 122


Legislación Vigente – Legislación
Española – Ley de Hacking (Art. 197 C.P.)
1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se
apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos
o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha,
transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de
comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a
veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique,
en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen
registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro
tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar
autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del
titular de los datos o de un tercero.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 123


Legislación Vigente – Legislación
Española – Ley de Hacking (Art. 197 C.P.)
Se agrava el delito cuando:
•Se comete por las personas encargadas o responsables de los ficheros, soportes informáticos,
electrónicos o telemáticos, archivos o registros
•Si los datos reservados se hubieran difundido, cedido o revelado a terceros
•Cuando los hechos afecten a datos de carácter personal que revelen la ideología, religión,
creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona
con discapacidad
•Si los hechos se realizan con fines lucrativos
•Cuando los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya
estado unida a él por análoga relación de afectividad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 124


Legislación Vigente – Legislación Española –
Ley de Hacking (Art. 197 bis C.P.)
1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas
para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto
o una parte de un sistema de información o se mantenga en él en contra de la voluntad de
quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a
dos años.
2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente
autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde,
hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los
mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce
meses.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 125


Legislación Vigente – Legislación Española –
Ley de Hacking (Art. 197 bis C.P.)
Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho
meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de
cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos
a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:
a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos;
o
b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a
la totalidad o a una parte de un sistema de información.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 126


Legislación Vigente – Hacking Ético
Hacker ético (White hat)
Persona que utiliza sus conocimientos de informática y
seguridad para realizar pruebas en redes y encontrar
vulnerabilidades, para luego reportarlas y que se tomen
medidas, sin hacer daño.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 127


Legislación Vigente – Legislación Española –
Ley de Servicios de la sociedad de la
Información (ley 34/2002)
La Ley de Servicios de la Sociedad de la Información (LSSI, Ley 34/2002) se aplica a los siguientes
servicios, cuando constituyan una actividad económica o lucrativa para el prestador (incluyendo
publicidad o patrocinios):
• Comercio electrónico.
• Contratación en línea.
• Información y publicidad.
• Servicios de intermediación.

Se refiere a la calidad del servicio, plazos, formas de contratación y pago, cookies, etc.
Se está trabajando a nivel europeo en un nuevo Reglamento sobre la privacidad y las
comunicaciones electrónicas (ePrivacy) que derogue la Directiva 2002/58/CE vigente.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 128


Legislación Vigente – Legislación
Española – Ley de firma electrónica
La Ley 59/2003, de 19 de diciembre, de firma electrónica establece los siguientes conceptos:
• Firma electrónica: Es el conjunto de datos en forma electrónica, consignados junto a otros o asociados
con ellos, que pueden ser utilizados como medio de identificación del firmante.
• Firma electrónica avanzada: Es la firma electrónica que permite identificar al firmante y detectar
cualquier cambio posterior de los datos firmados, que está vinculada al firmante de manera única y a
los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su
exclusivo control.
• Firma electrónica reconocida: Es la firma electrónica avanzada basada en un certificado reconocido y
generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida tendrá
respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en
relación con los consignados en papel.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 129


Legislación Vigente – Legislación
Española – Ley de firma electrónica

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 130


Legislación Vigente – Legislación
Española – Protección de la Privacidad
Además esta ley se basa en un límite para la tenencia y utilización de datos personales así como
sobre el tráfico de los mismos.
La Agencia Española de protección de datos (AEPD) es el organismo público que vela por la
protección de la privacidad en el territorio nacional.
El derecho a la intimidad se define como el derecho que poseen las personas de poder excluir a
las demás personas del conocimiento de su vida personal, es decir, de sus sentimientos, de sus
emociones, de sus datos biográficos y personales y de su imagen.
Por otro lado, además, será la facultad de determinar en qué medida esas dimensiones de la vida
personal pueden ser legítimamente comunicadas o conocidas por otras personas.
Hasta el 25 de mayo de 2018 estaba regida por la Ley Orgánica de Protección de dato (LOPD) o
Ley Orgánica 15/199 del 13 de diciembre. Siguiendo en vigencia todos los artículos que no
contradigan el Reglamento General de Protección de Datos (RGPD o GDPR). Directiva 95/46/CE y
en 2016 el Reglamento 2016/679 General de Protección de Datos Personales.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 131


Legislación Vigente – Legislación Española -
Protección de la Privacidad - LOPD
Obligaciones recogidas en la LOPD:
•Inscripción de los ficheros en el Registro General de la Protección de Datos.
•Redacción del documento de seguridad. “El responsable del fichero elaborará e implantará la
normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el
personal con acceso a los datos automatizados de carácter personal y a los sistemas de información”.
•Redacción de cláusulas de protección de datos.
•Auditoría.
•Medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los
datos objeto de tratamiento.
•Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los
tratamientos por terceros y las cesiones o comunicaciones de datos.
•Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 132


Legislación Vigente – Legislación Española - Protección
de la Privacidad - Destinatario declarado de nivel
adecuado por la Comisión Europea
Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001
Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003
Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011
Uruguay. Decisión 2012/484/UE, de la Comisión de 21 de agosto de 2012.
Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
Estados Unidos. Aplicable a las entidades certificadas en el marco del Escudo de Privacidad [Link]. Decisión (UE) 2016/1250 de la Comisión, de
12 de julio de 2016.
Japón. Decisión de 23 de enero de 2019.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 133


Legislación Vigente – Legislación Española -
Protección de la Privacidad - RGPD
Objetivo principal es reforzar los derechos de los ciudadanos, a la vez que se favorece la creación de
nuevos modelos de negocio que aprovecha los avances tecnológicos (Big Data, IoT,…). Se introduce un
estándar único europeo de protección de datos (tanto para las empresas como para los
consumidores). Los cambios principales frente a la LOPD son:
•Se obliga a ciertas empresas a disponer de un Delegado de Protección de Datos.
•Se elimina la necesidad de inscribir los ficheros en la Agencia Española de Protección de Datos
(AEPD).
•Se incorpora el principio de “rendición de cuentas”, por el cual las empresas tendrán que implantar
mecanismos para garantizar el cumplimiento de sus responsabilidades de protección de datos.
Indicando para que van a ser utilizados los datos recogidos. No pudiendo ser utilizados para ningún
tratamiento no indicado en el acuerdo aceptado por el usuario que cede sus datos.
•Aumentan las sanciones. (4% Muy Graves (20 millones como máximo), 2% Graves (10 millones como
máximo) del volumen de negocio).
•El artículo 33 del RGPD establece la obligación por parte del responsable del tratamiento de notificar
a la autoridad de control competente (AEPD) cualquier brecha de seguridad, sin dilaciones indebidas
y en todo caso en un plazo máximo de 72 horas, a menos que sea improbable que la brecha
constituya un riesgo para los derechos y libertades de las personas físicas.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 134


Legislación Vigente – Legislación Española -
Protección de la Privacidad - RGPD
Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Tipos Datos:
• Nivel Básico: Datos Identificativos: Nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad
social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento, sexo,
nacionalidad, etc.
• Nivel Medio: Datos relativos a solvencia patrimonial, operaciones financieras y de crédito, infracciones
administrativas, etc. (También datos de personalidad, hábitos de carácter, datos de seguridad social,
solvencia patrimonial y crédito, sanciones administrativas, pruebas psicotécnicas, currículos, etc).
• Nivel Alto: Datos especialmente protegidos (Ideología, afiliación sindical y política, religión y creencias,
origen racial, salud, bajas laborales, vida y prácticas sexual, etc.)

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 135


Legislación Vigente – Legislación Española -
Protección de la Privacidad – RGPD vs LOPD -
Sanciones

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 136


Legislación Vigente – Legislación Española -
Ley de Propiedad Intelectual (LPI)
El Real Decreto Legislativo 1/1996 de 12 de abril aprobó el texto refundido de la Ley de
Propiedad Intelectual, donde se define el concepto de “obra intelectual” (obras literarias,
artísticas o científicas en cualquier medio o soporte, tangible o intangible, actualmente conocido
o que se invente en el futuro), crea un registro de obras y regula en qué términos se pueden o no
utilizar estas obras según el criterio del autor. La LPI protege los derechos morales (art. 14) y
patrimoniales (explotación y copia) de los autores.
En septiembre de 2018 se ha aprobado la reforma de la Directiva europea de regulación de la
propiedad intelectual.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 137


Legislación Vigente – Legislación Española –
Desarrollo de la Ciberseguridad

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 138


Legislación Vigente – Legislación Española –
Esquema Nacional de Seguridad
Conocido como ENS.
Destinado a las Instituciones públicas.
Tiene por objeto establecer la política de seguridad en la
utilización de medios electrónicos y está constituido por
principios básicos y requisitos mínimos que permitan una
protección adecuada de la información.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 139


Legislación Vigente – Legislación Española –
Esquema Nacional de Seguridad
Objetivos:
• Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas
para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos
y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes.
• Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley
11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección
adecuada de la información.
• Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en
materia de seguridad de las tecnologías de la información.
• Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la
comunicación de los requisitos de seguridad de la información a la Industria.
• Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de
servicios de administración electrónica cuando participan diversas entidades.
• Facilitar un tratamiento continuado de la seguridad.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 140


Herramienta para el
Análisis y la Gestión de
Riesgos de Sistemas de la
Información - Magerit

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 141


Herramienta para el Análisis y la Gestión de
Riesgos de Sistemas de la Información -
Magerit
Magerit V3: Es la vigente Metodología que usa para el análisis y la gestión de riesgos de los
sistemas de información.
Destinatario: Cualquier Administración Pública.
Es de 2012 perteneciente al Ministerio de Hacienda y Administraciones Públicas.
Consta de 3 libros:
• Libro 1: Método.
• Libro 2: Catálogo de Elementos.
• Libro 3: Guía de Técnicas.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 142


Centro Criptológico
Nacional

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 143


Centro Criptológico Nacional
Centro Criptológico Nacional de gestión de ciberincidentes
sobre sistemas clasificados, del Sector Público y empresas de
interés estratégico (CCN).
Creado en 2004.
Organismo responsable de coordinar la acción de los
diferentes organismos de la Administración que utilicen
medios o procedimientos de cifra, garantizar la seguridad de
las Tecnologías de la Información en ese ámbito, informar
sobre la adquisición coordinada del material criptológico y
formar al personal de la Administración especialista en este
campo.

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 144


Centro Criptológico Nacional
Las guías que tienen son, según serie CCN-STIC:
• 000 Políticas.
• 100 Procedimientos.
• 200 Normas.
• 300 Instrucciones Técnicas.
• 400 Guías Generales.
• 500 Guías de entornos Windows.
• 600 Guías de otros entornos.
• 800 Esquema Nacional de Seguridad (ENS)
• 900 Informas técnicos.

Ejemplo guía: CCN-STIC 700

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 145


Centro Criptológico Nacional

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 146


Unidad 1: Introducción
a la seguridad
Informática
UNIDAD 1: CONCEPTOS Y DEFINICIONES. NORMATIVA
CURSO 2023-2024

SEGURIDAD INFORMÁTICA - UNIDAD 1 - INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA 147

También podría gustarte