Conceptos Fundamentales de Ciberseguridad, Amenazas y Marco Legal

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 5,85 KB

Protección de Activos y la Información

Los activos: Los activos que hay que proteger son los equipos y la información contenida en ellos. Es crucial determinar qué equipos son más importantes y qué medidas de seguridad aplicar en cada uno, teniendo en cuenta que el mayor activo es la información.

Principios Fundamentales de la Seguridad de la Información

Confidencialidad:
Busca que la información solo sea utilizada por las personas o máquinas debidamente autorizadas.
Integridad:
Garantiza que los datos queden almacenados tal y como espera el usuario, evitando que no sean alterados sin su consentimiento.
Disponibilidad:
Asegura que los usuarios puedan acceder a los servicios con normalidad en el horario establecido.
Autenticación:
Confirma que una persona o máquina es quien dice ser.
Autorización:
Una vez autenticado, define los distintos privilegios que los usuarios tendrán sobre la información (solo lectura, o lectura y modificación).
Cifrado:
Mecanismo por el cual la información estará cifrada para que sea inútil a quien no supere la autenticación.
No Repudio:
Se refiere a la capacidad de evitar que cualquiera de las partes involucradas en una relación digital pueda negar que participó en esa relación.

Criterios de Autenticación

Las medidas de autenticación se clasifican según tres criterios principales:

  • Algo que sabes: Para acceder al sistema, necesitas conocer alguna palabra secreta (la típica contraseña).
  • Algo que tienes: Es imprescindible aportar algún elemento material (generalmente una tarjeta o token).
  • Algo que eres: El sistema solicita reconocer alguna característica física del individuo (biometría: huella dactilar, escáner de retina, reconocimiento de voz).

Amenazas y Vulnerabilidades

Vulnerabilidad:
Un defecto de una aplicación que puede ser aprovechado por un atacante.
Exploit:
El código o técnica que utiliza esa vulnerabilidad para tomar el control de la máquina.

Tipos de Malware

Hay muchos tipos de malware (software malicioso) que fundamentalmente se clasifican en virus, gusanos y troyanos. Su función es propagarse y contaminar un gran número de ordenadores.

Clasificación de los Actores de Amenaza

Hacker:
Ataca la defensa informática de un sistema solo por el reto que supone hacerlo. Si tiene éxito, moralmente debería avisar a los administradores sobre los agujeros de seguridad que ha utilizado, porque están disponibles para cualquiera.
Cracker:
También ataca la defensa, pero esta vez sí quiere hacer daño: robar datos, desactivar servicios o alterar información.
Script Kiddie:
Son aprendices de hacker y cracker que encuentran en Internet cualquier ataque y lo lanzan sin conocer muy bien qué están haciendo ni las consecuencias derivadas de su actuación.
Programadores de Malware:
Expertos en programación capaces de aprovechar las vulnerabilidades de alguna versión concreta de un software conocido para generar un programa que les permita atacar.
Sniffers:
Expertos en protocolos de comunicaciones capaces de procesar una captura de tráfico de red para localizar la información interesante.
Ciberterrorista:
Cracker con intereses políticos y económicos a gran escala.

Marco Legal de la Seguridad y la Información

LOPD: Ley Orgánica de Protección de Datos de Carácter Personal

La Ley Orgánica de Protección de Datos de Carácter Personal establece las bases para proteger el tratamiento de los datos de carácter personal de las personas físicas.

Define tres tipos de medidas de seguridad:

Nivel Básico

Aplicable a cualquier fichero de datos de carácter personal.

  • Identificar y autenticar a los usuarios que pueden trabajar con esos datos.
  • Llevar un registro de incidencias acontecidas en el fichero.
  • Realizar copia de seguridad, como mínimo, semanalmente.

Nivel Medio

Aplicable cuando los datos incluyen información sobre infracciones administrativas o penales, informes financieros y de gestión tributaria, y datos sobre la personalidad del sujeto.

  • Incluye todas las medidas del Nivel Básico.
  • Al menos una vez cada dos años, una auditoría externa verificará los procedimientos de seguridad.
  • Debe existir control de acceso físico a los medios de almacenamiento de los datos.

Nivel Alto

Aplicable a los datos especialmente protegidos: ideología, vida sexual, origen racial, afiliación sindical o política, historial médico, etc. Las medidas de seguridad son:

  • Incluye todas las medidas del Nivel Medio.
  • Cifrado de las comunicaciones.
  • Registro detallado de todas las operaciones sobre el fichero, incluyendo usuario, fecha y hora, tipo de operación y resultado de la autenticación y autorización.

LSSI-CE: Ley de Servicios de la Sociedad de la Información y Comercio Electrónico

La LSSI-CE intenta cubrir el hueco legal que existía con las empresas que prestan servicios de la sociedad de la información.

LPI: Ley de Propiedad Intelectual

La Ley de Propiedad Intelectual (LPI) establece los derechos de autor en los entornos digitales. Como excepción, incluye la copia privada, que es para uso personal del dueño.

Karma: -15%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Protección de Datos Hacker Activos Digitales Seguridad Informática Ciberseguridad LOPD Amenazas Digitales Malware LSSI-CE Confidencialidad proteccion de dATOS Matew Autenticación Propiedad Intelectual