Tema 1: Introduccin a la Proteccin y

Seguridad de la Informacin
1. Introducci
Introduccin
2. Conceptos Fundamentales
Confidencialidad
Integridad
Disponibilidad
Otros aspectos relacionados
3. Pol
Polticas de Seguridad
4. An
Anlisis y Gesti
Gestin de Riesgos
4.1. Valor de un SI
4.2. Vulnerabilidad, Amenazas y Contramedidas
4.3. Planes de Contingencia
5. Principios Fundamentales de la Seguridad Inform
Informtica
6. El Papel de la Criptograf
Criptografa en la Seguridad de la Informaci
Informacin

1. Introduccin
(s. XXI) Sociedades de la Informaci
Informacin: El volumen de datos
(informacin) que es procesado, almacenado y transmitido es muy
superior al de otra poca.
Crece MUCHSIMO la importancia de la informacin.
Recursos clsicos: Recursos Humanos, Materiales y Dinero
El conocimiento es poder.
Disponer de determinadas informaciones permite usarlas y
manipularlas en beneficio propio.
Si la informacin puede proporcionar beneficios, siempre existir
alguien que ponga todos los medios a su alcance para obtenerla,
manteniendo una proporcionalidad entre los medios y el beneficio.
Los nuevos medios para transmitir y utilizar la informacin han
aumentado su inseguridad.
El auge de las redes y de Internet ha sido el factor que ha hecho que
la Seguridad Informtica cobre importancia.
Seguridad de los Sistemas de Informacin (SSI) = Seguridad de la
Informacin, Seguridad de los Ordenadores, Seguridad de Datos,
Proteccin de la Informacin.
2

1
2. Conceptos Fundamentales
Definiciones

Informaci
Informacin: Conjunto de datos que sirven para tomar una decisin.
Sistema Inform
Informtico (SI):
(SI) Conjunto de recursos tcnicos, financieros
y humanos cuyo objetivo es el almacenamiento, procesamiento y
transmisin de la informacin.

Protecci
Proteccin: Accin y efecto de proteger. Proteger:
Proteger Resguardar a una
persona, animal o cosa de un perjuicio o peligro, ponindole algo
encima, rodendolo, etc.
Seguridad:
Seguridad Se aplica a ciertos mecanismos que aseguran algn buen
funcionamiento, precaviendo que ste falle, se frustre o se violente.
Ordenador Seguro:
Seguro Si podemos contar con que su hardware y su
software se comporten como se espera de ellos.

Protecci
Proteccin y Seguridad de la Informaci
Informacin (PSI):
(PSI) Este trmino surge
de la idea de que hay que proteger la informacin para proporcionar
acceso a ella.
3

2. Conceptos Fundamentales
Vulnerabilidad y Riesgos

Tecnolog
Tecnologas de la Informaci
Informacin Las organizaciones se exponen a
riesgos por una proteccin inadecuada de la informacin (o de los
sistemas de tratamiento).

Ejemplos de vulnerabilidad creciente:

Expansin del uso de ordenadores personales Se magnifica el
problema de la SSI, debido a la carencia de controles de seguridad
bsicos.
Evolucin hacia entornos con acceso global y mltiple Aumento de la
conectividad entre organizaciones distintas que plantea retos
importantes a la gestin de la seguridad.

Riesgos fundamentales de una incorrecta PSI:

Revelacin a personas no autorizadas (confidencialidad).
Inexactitud de los datos (integridad).
Inaccesibilidad de la informacin cuando se necesita (disponibilidad).

2
2. Conceptos Fundamentales
PSI (I): Objetivo

Objetivo de la seguridad:
seguridad Preservar las caractersticas de
confidencialidad, integridad y disponibilidad que debe cubrir un SI
seguro.

Factores que ponen en peligro el buen funcionamiento de los SI:

Problemas tcnicos, condiciones de instalacin desfavorables, los
usuarios, la situacin poltica y social y las amenazas ambientales.
Amenazas: desastres naturales (inundaciones, accidentes, incendios),
abusos deliberados (fraudes, robos, virus).
No existe una definicin estricta de lo que se entiende por Seguridad
Informtica:
Abarca mltiples reas relacionadas con los SI (redes, BBDDs, Sis, etc.)
El objetivo de la seguridad no es nico (economa, funcionalidad, etc).
Dependiendo del tipo de SI el orden de importancia de los tres
aspectos (C., I., D.) es diferente.

2. Conceptos Fundamentales
PSI (II): Confidencialidad

Confidencialidad:
Confidencialidad Servicio de seguridad o condicin
que asegura que la informacin no pueda estar
disponible o ser descubierta por o para personas,
entidades o procesos no autorizados. Tambin
puede verse como la capacidad del sistema para
evitar que personas no autorizadas puedan acceder
a la informacin almacenada en l.
Privacidad: Cuando nos referimos a datos de carcter personal.
Seguridad Gubernamental: Los usuarios pueden acceder a la
informacin que les est permitida en base a su grado o nivel de
autoridad (disposiciones legales o administrativas) MULTINIVEL .
Entornos de Negocios: La confidencialidad asegura la proteccin en
base a disposiciones legales o criterios estratgicos de informacin
privada.
Mecanismos para salvaguardar la confidencialidad de los datos:
El uso de tcnicas de control de acceso a los sistemas.
El cifrado de la informacin confidencial o de las comunicaciones.
6

3
2. Conceptos Fundamentales
PSI (III): Integridad

Integridad:
Integridad Servicio de seguridad que garantiza
que la informacin es modificada, incluyendo su
creacin y borrado, slo por el personal autorizado.
Se unen varios conceptos: precisi
precisin, integridad,
integridad autenticidad.
autenticidad
El sistema no debe modificar o corromper la informacin que
almacene, o permitir que alguien no autorizado lo haga.
El problema de la integridad no slo se refiere a modificaciones
intencionadas, sino tambin a cambios accidentales.
Redes y comunicaciones Autenticidad: Se trata de proporcionar los
medios para verificar que el origen de los datos es el correcto, quin
los envi y cundo fueron enviados y recibidos.
Entornos financieros o bancarios: Al realizar transacciones es ms
importante mantener la integridad y precisin de los datos que estos
sean interceptados o conocidos (confidencialidad).
Criptografa: Hay mtodos para mantener y asegurar la autenticidad
de los mensajes y la precisin de los datos. Se usan cdigos o firmas
aadidos a los mensajes, asegurando integridad y autenticidad. 7

2. Conceptos Fundamentales
PSI (IV): Disponibilidad

(1) Grado en que un dato est en el lugar, momento

y forma en que es requerido por el usuario.
(2) Situacin que se produce cuando se puede acceder a un SI en un
periodo de tiempo considerado aceptable.

Un sistema seguro debe mantener la informacin disponible para los

usuarios. El sistema, tanto hardware como software, debe
mantenerse funcionando eficientemente y ser capaz de recuperarse
rpidamente en caso de fallo.

Denegaci
Denegacin de servicio:
servicio Los usuarios no pueden obtener los recursos
deseados. Motivos:
El ordenador puede estar estropeado o el SO cado.
No hay suficiente memoria para ejecutar los programas.
Los discos, impresoras o cualquier otro recurso no estn disponibles.
No se puede acceder a la informacin
8

4
2. Conceptos Fundamentales
PSI (V): Definicin
Confiden- Integridad
cialidad

Informacin

Disponibilidad

Conjunto de recursos y tcnicas que permiten

PSI asegurar la confidencialidad, integridad y
disponibilidad de la informacin.
9

2. Conceptos Fundamentales
Otros aspectos relacionados

Autenticidad:
Autenticidad Propiedad que asegura el origen de la informacin. La
identidad del emisor puede ser validada, de modo que se puede
demostrar que es quien dice ser.
Imposibilidad de rechazo (no repudio):
repudio) Propiedad que asegura que
cualquier entidad que enva o recibe informacin no puede alegar
ante terceros que no la envi o no la recibi.
Consistencia:
Consistencia Asegura que el sistema se comporta como se supone
que debe hacerlo con los usuarios autorizados.
Aislamiento:
Aislamiento Regula el acceso al sistema, impidiendo que personas no
autorizadas entren en l.
Auditor
Auditora: Capacidad de determinar qu acciones o procesos se han
llevado a cabo en el sistema y quin y cundo los ha llevado a cabo.
Para ello se mantiene un registro de las actividades del sistema (log),
altamente protegido contra modificacin.

10

5
3. Polticas de Seguridad
Concepto

Pol
Poltica de Seguridad (PS):
(PS) Es una declaracin de intenciones de alto
nivel que cubre la seguridad de los SI y que proporciona las bases
para definir y delimitar responsabilidades para las diversas
actuaciones tcnicas y organizativas que se requerirn.

La poltica se refleja en una serie de normas, reglamentos y

protocolos a seguir, donde se definen las distintas medidas a tomar
para proteger la seguridad del sistema, las funciones y
responsabilidades de los distintos componentes de la organizacin y
los mecanismos para controlar su correcto funcionamiento.
Los directivos y los expertos en TI deben definir los requisitos de
seguridad La seguridad es parte de la operativa habitual, no es un
extra aadido.
La poltica debe ser consistente con las prcticas de seguridad de
otros departamentos.

11

3. Polticas de Seguridad
Reglas bsicas para establecer una Poltica

1. Toda PS debe cubrir todos los aspectos relacionados con el sistema:

Proteccin en todos los niveles: fsico, humano, lgico y logstico.
Debe tener en cuenta los distintos componentes del sistema y la
interaccin entre ellos (hardware, software, usuarios, etc).
Debe tener en cuenta el entorno del sistema (R2).

2. La PS debe adecuarse a las necesidades y los recursos. Deben

evaluarse los riesgos, el valor del sistema y el coste de atacarlo. Las
medidas tomadas deben ser proporcionales a estos valores
ANLISIS Y GESTIN DE RIESGOS

3. Toda PS debe basarse en el sentido comn:

Conocimiento del sistema a proteger y su entorno.
Conocimiento y experiencia en la evaluacin de riesgos y en el
establecimiento de medidas de seguridad.
Conocimiento de la naturaleza humana, de los usuarios y de sus
posibles motivaciones.
12

6
 3. Polticas de Seguridad
Pasos bsicos

Al establecer una PS hay que responder las siguientes preguntas:

Qu necesitamos proteger?
De qu necesitamos protegerlo?
Cmo vamos a protegerlo?
determinacin de activos
determinacin de amenazas y
vulnerabilidades
determinacin de medidas de
seguridad o salvaguardas

Esto lleva a los siguientes pasos b bsicos:

sicos
1. Determinar los recursos a proteger y su valor.
AR
2. Analizar las vulnerabilidades y amenazas del sistema, su probabilidad y
su coste.
3. Definir las medidas a establecer para proteger el sistema, proporcionales
a (1) y (2) y a todos los niveles (Requisito 1 de diapositiva anterior).
GR Debe definirse una estrategia a seguir en caso de fallo.
4. Monitorizar el cumplimiento de la poltica, revisarla y mejorarla cada vez
que se detecte un problema.

AR: Anlisis de Riesgos (1,2) GR: Gestin de Riesgos (3,4) 13

4. Anlisis y Gestin de Riesgos

Evaluacin de riesgos

Una violacin de la seguridad es cualquier suceso que compromete el

objetivo de la SSI (C., I., D.).
El AGR es un mtodo formal para investigar los riesgos de un SI y
recomendar las medidas apropiadas que deberan adoptarse para
controlar estos riesgos.

Evaluacin de riesgos Tener en cuenta tres costes:

Cr: Valor del SI = recursos + informacin.
Ca: Coste de los medios necesarios para romper las medidas de
seguridad.
Cs: Coste de las medidas de seguridad.
Relacin econmica lgica: Ca > Cr > Cs
Valor de un SI (Cr
(Cr)): Al evaluar un SI su valor puede desglosarse en
dos partes fundamentales:
1. Valor intrnseco del producto a proteger.
2. Los costes derivados de su prdida a veces no son
mensurables 14

7
4. Anlisis y Gestin de Riesgos
Valor de un SI

Valor intr
intrnseco.
Fcil de valorar: Valores objetivos y mensurables (recursos e
informacin).
Ejemplo: Servidor de un departamento con varios grupos de
investigacin:
Valor del hardware.
Valor del software.
Valor de los resultados de investigacin almacenados.
Coste del esfuerzo y material invertido para obtener los datos.
Valor de la informacin personal que contiene.
Costes derivados.
Ms difciles de enumerar y cuantificar.
Dependen del tipo de SI; su valor e importancia pueden variar.
Conceptos:
Valor de sustituir el hardware. Prestigio
Valor de sustituir el software. Planificacin
Valor de los resultados. Etc.
Valor de reproducir los experimentos significativos.
Coste de regenerar la informacin personal. 15

4. Anlisis y Gestin de Riesgos

Vulnerabilidad

Vulnerabilidad:
Vulnerabilidad Aspecto del sistema que es susceptible de ser atacado
o de daar la seguridad del mismo.
La seguridad total es difcil de lograr. Esto implicara describir todos
los riesgos y amenazas a que puede verse sometido el sistema.
No se puede hablar de SI totalmente seguro, sino de uno en el que no
se conocen tipos de ataques que puedan vulnerarlo.
Tipos de vulnerabilidades:
vulnerabilidades
Vulnerabilidad fsica: Nivel de edificio o entorno fsico. Cmo se
soluciona?
Vulnerabilidad natural: Desastres naturales/ambientales.
Vulnerabilidad del hardware y del software: Ciertos tipos de dispositivos
pueden ser ms vulnerables que otros. Bugs de los SO.
Vulnerabilidad de los medios o dispositivos: robos, daos, etc.
Vulnerabilidad por emanacin: Radiaciones electromagnticas.
Vulnerabilidad de las comunicaciones: (1) penetrar en el sistema a travs
de la red, (2) interceptar informacin en la transmisin.
Vulnerabilidad humana: El 50% de los problemas son debidos a los
usuarios. 16

8
4. Anlisis y Gestin de Riesgos
Amenazas (I)

Amenaza:
Amenaza Posible peligro del sistema o atacante que aprovecha las
debilidades (vulnerabilidades) del sistema.
Persona.
Programa.
Suceso natural o de otra ndole.

Intercepcin: Una persona, Modificacin: Se accede no

programa o proceso logra el
acceso a una parte del
sistema a la que no est
autorizado.
Amenaza difcil de detectar.
slo a una parte del sistema
a la que no se tiene
autorizacin, sino que se
cambia en todo o en parte el
contenido o modo de
funcionamiento.

Interrupcin: Se interrumpe Fabricacin: Posibilidad de

mediante algn mtodo el aadir informacin o
funcionamiento del sistema. programas no autorizados
Puede ser intencionada o en el sistema.
accidental.

17

4. Anlisis y Gestin de Riesgos

Amenazas (II)

Clasificaci
Clasificacin de las amenazas :
Hardware: Sistema.
Software: programas de usuario, aplicaciones, bases de datos, SO, etc.
Datos.

18

9
4. Anlisis y Gestin de Riesgos
Amenazas (III)

Clasificaci
Clasificacin de las amenazas de acuerdo al origen:
origen
Amenazas naturales o fsicas: Desastres naturales y condiciones
medioambientales.
Amenazas involuntarias: Relacionadas con el uso descuidado del equipo
por falta de entrenamiento o concienciacin sobre la seguridad.
Borrar sin querer parte de la informacin.
Dejar sin proteccin determinados ficheros bsicos del sistema.
Dejar pegado a la pantalla un post-it con la clave u olvidarse de salir del
sistema.
Amenazas intencionadas: Procedentes de personas que pretenden
acceder al sistema para borrar, modificar o robar la informacin; para
bloquearlo o por simple diversin.
Causantes del da
dao:
Internos: (1) empleados despedidos/descontentos, (2) empleados
coaccionados, (3) empleados que obtienen beneficios personales.
Externos: Penetran en el sistema de mltiples formas:
Entrando al edificio o accediendo fsicamente al ordenador.
Entrando al sistema a travs de la red explotando las vulnerabilidades software.
Consiguiendo acceder a travs de personas que estn autorizadas. 19

4. Anlisis y Gestin de Riesgos

Contramedidas (I)

Contramedida:
Contramedida Tcnica de proteccin del sistema contra las
amenazas.
SSI se encarga de:
Identificacin de las vulnerabilidades del sistema.
Establecimiento de contramedidas que eviten que las distintas amenazas
posibles exploten las vulnerabilidades.
Criterios de diseo de SI: economa, eficiencia, eficacia, etc.
Diseo mediante criterios de seguridad: Ms complejo.
Amenazas poco cuantificables y variadas.
La aplicacin de medidas para proteccin del sistema implica:
Anlisis y cuantificacin previa de los riesgos y vulnerabilidades.
Definicin de una poltica de seguridad y su implementacin mediante medidas.
Las medidas de seguridad llevan un coste asociado:
asociado
A mayores y ms restrictivas medidas, menos funcional es el sistema.
El sistema es menos cmodo para los usuarios: Limita su actuacin y
establece unas reglas ms estrictas que dificultan el manejo del sistema.
Una posible reduccin del rendimiento (Ej. Chequeo antivirus)
20

10
4. Anlisis y Gestin de Riesgos
Contramedidas (II)

Tipos de medidas:
medidas
Lgicas.
Fsicas.
Administrativas.
Medidas Legales
Legales.
Medidas Administrativas
Medidas Fsicas
Medidas Lgicas
Sistema Informtico

21

4. Anlisis y Gestin de Riesgos

Contramedidas (III)

Medidas l
lgicas:
gicas
Incluyen las medidas de acceso a los recursos y a la informacin y al uso
correcto de los mismos, as como la distribucin de las responsabilidades.
Se refiere a la proteccin de la informacin almacenada y transportada.
Controles lgicos de una PS:
1) Establecimiento de una poltica de control de accesos.
2) Definicin de una poltica de instalacin y copia de software.
3) Uso de la criptografa para proteger los datos y las comunicaciones.
4) Uso de cortafuegos para proteger una red local de Internet.
5) Definicin de una poltica de copias de seguridad.
6) Definicin de una poltica de monitorizacin (logging) y auditoria (auditing)
del sistema.
Tambin se incluyen las medidas humanas: Se trata de definir las
funciones, relaciones y responsabilidades de distintos usuarios
potenciales del sistema (quin puede acceder, a qu recursos, etc.).
Hay cuatro tipos de usuarios: (1) administrador del sistema
(administrador de seguridad), (2) usuarios, (3) personas relacionadas con
el sistema pero sin necesidad de usarlo, (4) personas ajenas al sistema.
22

11
4. Anlisis y Gestin de Riesgos
Contramedidas (IV)

Medidas f
fsicas:
sicas
Aplican mecanismos para impedir el acceso directo o fsico no autorizado
al sistema.
Protegen al sistema de desastres naturales o condiciones
medioambientales adversas.
Se trata de establecer un permetro de seguridad en nuestro sistema.
Factores fundamentales a considerar:
1) Acceso fsico al sistema por parte de personas no autorizadas.
2) Daos fsicos por parte de agentes nocivos o contingencias.
3) Medidas de recuperacin en caso de fallo.
Tipos de controles:
1) Control de las condiciones medioambientales (temperatura, humedad, polvo...)
2) Prevencin de catstrofes (incendios, tormentas, sobrecargas, cortes del
suministro elctrico )
3) Vigilancia (cmaras, guardias, )
4) Sistemas de contingencia (extintores, fuentes de alimentacin ininterrumpida)
5) Sistemas de recuperacin (copias de seguridad, redundancia )
6) Control de la entrada y salida de material (elementos desechables, papeles,
consumibles, material anticuado )
23

4. Anlisis y Gestin de Riesgos

Contramedidas (V)

Medidas administrativas:
administrativas
Son aquellas que deben ser tomadas por las personas encargadas de
definir la poltica de seguridad para ponerla en prctica, hacerla viable y
vigilar su correcto funcionamiento.
Medidas administrativas fundamentales.
1) Documentacin y publicacin de la poltica de seguridad y de las medidas
tomadas para ponerla en prctica.
2) Debe quedar claro quin fija la poltica de seguridad y quin la pone en
prctica.
3) Establecimiento de un plan de formacin del personal.
4) Los usuarios deben tener los conocimientos tcnicos necesarios para usar la
parte del sistema que les corresponda.
5) Los usuarios deben ser conscientes de los problemas de seguridad de la
informacin a la que tienen acceso.
6) Los usuarios deben conocer la poltica de seguridad de la empresa y las
medidas de seguridad tomadas para ponerla en prctica. Deben colaborar, a
ser posible voluntariamente, en la aplicacin de las medidas de seguridad.
7) Los usuarios deben conocer sus responsabilidades respecto al uso del SI, y
deben ser conscientes de las consecuencias de un mal uso del mismo.

24

12
4. Anlisis y Gestin de Riesgos
Contramedidas (VI)

Medidas legales:
legales
Se refiere ms a la aplicacin de medidas legales para disuadir al posible
atacante o para aplicarle algn tipo de castigo a posteriori.
Trascienden el mbito de la empresa y normalmente son fijadas por
instituciones gubernamentales e incluso instituciones internacionales.
LOPD: Ley Orgnica de Proteccin de Datos de Carcter Personal.
Vincula a todas las entidades que trabajen con datos de carcter personal.
Define las medidas de seguridad DE CARCTER TCNICO para su proteccin y
las penas a imponer en caso de incumplimiento.
Otras leyes o directivas importantes:
LSSI: Ley de Servicios de la Sociedad de la Informacin y de Comercio
Electrnico.
Directiva Europea de Proteccin de Datos.

25

4. Anlisis y Gestin de Riesgos

Planes de Contingencia (I)

Al hablar de polticas de seguridad hay que contemplar tanto la

prevenci
prevencin como la recuperaci
recuperacin.
Ningn sistema es completamente seguro,
seguro y por tanto hay que
definir una estrategia a seguir en caso de fallo o desastre.
Los expertos de seguridad afirman sutilmente que hay que definir un
plan de contingencia para cuando falle el sistema, no por si
falla el sistema. La clave de una buena recuperacin en caso de fallo
es una preparacin adecuada.
Recuperaci
Recuperacin: Es tanto la capacidad de seguir trabajando en un
plazo mnimo despus de producido el problema, como la posibilidad
de volver a la situacin anterior al problema habiendo reemplazado o
recuperado el mximo de los recursos y de la informacin.
Aspectos relacionados con la recuperacin:
1. Deteccin del fallo.
2. Identificacin del origen del ataque y de los daos causados.
3. Toma de medidas a posteriori contra el atacante.
26

13
4. Anlisis y Gestin de Riesgos
Planes de Contingencia (II)

La recuperacin se basa en buena medida en el uso de una adecuada

poltica de monitorizacin y auditoria del sistema.
recuperacin de la informaci
La recuperaci informacin se basa en el uso de una
poltica de copias de seguridad adecuada, mientras la recuperaci
recuperacin
del funcionamiento del sistema se basa en la preparacin de
unos recursos alternativos.
Una buena poltica de copias de seguridad debe contemplar:
Qu tipos de backups se realizan: completos o incrementales.
Con qu frecuencia se realiza cada tipo de backup.
Cuntas copias se realizan y dnde se guardan.
Durante cunto tiempo se guardan las copias.
Dependiendo del tipo de compaa puede ser necesario recuperar el
funcionamiento en un plazo ms o menos breve. Todo depende del
uso que se haga del sistema y de las prdidas que suponga no
tenerlo en funcionamiento.

27

4. Anlisis y Gestin de Riesgos

Modelo general que
representa la relacin entre
los distintos componentes
que intervienen en el
proceso de gestin de la
seguridad en TI

28

14
5. Principios fundamentales de la Seguridad
Informtica

Principio de menor privilegio.

Afirma que cualquier objeto (usuario, administrador, programa, sistema,
etc.) debe tener tan solo los privilegios de uso necesarios para
desarrollar su tarea y ninguno ms y slo durante el tiempo necesario.

La seguridad no se obtiene a travs de la oscuridad.

Un sistema no es ms seguro porque escondamos sus posibles defectos
o vulnerabilidades, sino porque los conozcamos y corrijamos
estableciendo las medidas de seguridad adecuadas. El hecho de
mantener posibles errores o vulnerabilidades en secreto no evita que
existan, y de hecho evita que se corrijan.
No es una buena medida basar la seguridad en el hecho de que un
posible atacante no conozca las vulnerabilidades de nuestro sistema. Los
atacantes siempre disponen de los medios necesarios para descubrir las
debilidades ms insospechadas de nuestro sistema.

29

5. Principios fundamentales de la Seguridad

Informtica

Principio del eslabn ms dbil.

En todo sistema de seguridad, el mximo grado de seguridad es aquel
que tiene su eslabn ms dbil. Cuando diseemos una poltica de
seguridad o establezcamos los mecanismos necesarios para ponerla en
prctica, debemos contemplar todas las vulnerabilidades y amenazas.
No basta con establecer unos mecanismos muy fuertes y complejos en
algn punto en concreto, sino que hay que proteger todos los posibles
puntos de ataque.

Defensa en profundidad.
La seguridad de nuestro sistema no debe depender de un solo
mecanismo por muy fuerte que este sea, sino que es necesario
establecer varios mecanismos sucesivos. De este modo cualquier
atacante tendr que superar varias barreras para acceder a nuestro
sistema.

30

15
5. Principios fundamentales de la Seguridad
Informtica

Punto de control centralizado.

Se trata de establecer un nico punto de acceso a nuestro sistema, de
modo que cualquier atacante que intente acceder al mismo tenga que
pasar por l. Este nico canal de entrada simplifica nuestro sistema de
defensa, puesto que nos permite concentrarnos en un nico punto.
Adems nos permite monitorizar todos los accesos o acciones
sospechosas.
Seguridad en caso de fallo.
Este principio afirma que en caso de que cualquier mecanismo de
seguridad falle, nuestro sistema debe quedar en un estado seguro. Por
ejemplo, si nuestros mecanismos de control de acceso al sistema fallan,
es preferible que como resultado no dejen pasar a ningn usuario a que
dejen pasar a cualquiera aunque no est autorizado.

31

5. Principios fundamentales de la Seguridad

Informtica

Participacin universal.
Para que cualquier sistema de seguridad funcione es necesaria la
participacin universal, o al menos la no oposicin activa de los usuarios
del sistema.

Simplicidad
La simplicidad es un principio de seguridad por dos razones. En primer
lugar, mantener las cosas lo ms simples posibles las hace ms fciles
de comprender. Si no se entiende algo difcilmente puede saberse si es
seguro. En segundo lugar, la complejidad permite esconder mltiples
fallos. Los programas ms largos y complejos son propensos a contener
mltiples fallos y puntos dbiles.

32

16
6. El papel de la Criptografa en la Seguridad de la
Informacin

Criptograf
Criptografa: Ciencia que estudia la escritura secreta, la forma de
escribir ocultando el significado.
Criptoan
Criptoanlisis:
lisis Ciencia que se ocupa de esclarecer el significado de la
escritura ininteligible.
Criptolog
Criptologa = Criptograf
Criptografa + Criptoan
Criptoanlisis.
Actualmente, la Criptografa es una herramienta muy poderosa para
proporcionar servicios de seguridad en los SI.
Es importante comprender los procedimientos criptogrficos en su
base terica, as como su forma de utilizacin (protocolos
criptogrficos), con el objetivo de entender la implantacin de
servicios de seguridad en los actuales SI.

33

17