TÉCNICO EN

SEGURIDAD ACTIVOS DE UN
INFORMÁTICA
SISTEMA INFORMÁTICO
Nivel 12

Los activos son los componentes indispensables para el funcionamiento

de un sistema informático. Se clasifican en:

INFORMACIÓN
Hardware: Software: Datos o Información:
Infraestructura Base de datos
Sistema operativo
Cableado de red Paquetes de información
Aplicaciones
Equipos de cómputo Copias de seguridad
Programas de cómputo
Servidores Claves

Los activos más valiosos son los datos. Su protección contempla métodos de seguridad contra:
- Extravío, daño o modificación no autorizada
- Propagación o abuso de información confidencial
 TÉCNICO EN
SEGURIDAD
VALORACIÓN
INFORMÁTICA
Nivel 12
DE ACTIVOS
Valorizar los activos significa evaluar la importancia que tienen para la organización o la
empresa; y así asignar el tipo de protección correspondiente.
Inventario de activos
Debe contener los siguientes datos:

Identificación
del activo Descripción Localización
Tipo de activo Propietario Señala la
Selecciona un Explica las
código para orde- Reconoce cada características del Establece a los ubicación física
narlos en familias y elemento: hardware, activo de forma clara responsables del del activo o el
así localizarlos software o datos. y sin ambigüedades. activo. equipo donde se
fácilmente. encuentra.

Valoración de activos
Es la asignación de un valor numérico, el cual indica la magnitud de:
Confidencialidad: El nivel de protección que debe tener cada activo contra su uso indebido.
Disponibilidad: El nivel de accesibilidad para usuarios y personal de la empresa.
Integridad: El nivel de restricción de modificaciones al activo, por personal no autorizado.

Dándoles una valoración a cada uno se obtiene la siguiente tabla:

La valoración de los activos
identificados se hace con la Al final se promedia el Código Activo Confidencialidad Disponibilidad Integridad Total
siguiente escala del 1 al 5, valor de todos los
donde este último es el nivel aspectos. Servidor de
3
SU01 5 5 4
más alto. usuarios

Base de datos
BD01 5 5 5 5
Por ejemplo, en un banco se tienen los siguientes activos: de clientes

Servidor de usuarios CP01 Computadoras 3 5 5 4

Base de datos de clientes
ER01 Equipo de 5 5 5 5
Computadoras redes
Equipo de redes Sistema
SO01 5 5 4 5
Sistema Operativo Operativo
TÉCNICO EN
SEGURIDAD
VULNERABILIDADES
INFORMÁTICA
INFORMÁTICAS
Nivel 2

Una vulnerabilidad es un punto débil en la seguridad de un sistema informático.

A través de ésta se pueden presentar amenazas que pongan en peligro la confidencialidad e
integridad de la información; haz un análisis para identificar el tipo y el nivel de cada
vulnerabilidad.

Esto te permitirá conocer el nivel de riesgo.

Por ejemplo, una vulnerabilidad alta puede permitir que una persona externa controle el sistema.

Tipos de vulnerabilidad

Física. De las comunicaciones. Software.

Es la posibilidad de
acceder al sistema
directamente desde el
equipo, para extraerle
información, alterarlo o
destruirlo.
Es la posibilidad de que
varios usuarios puedan
acceder a un sistema
informático que se encuentra
conectado a una red de
computadoras o una
red global (internet).
También conocida como
bugs, es la posibilidad de
que el sistema sea accesible
debido a fallas en el diseño
del software.

Natural. Emanación. Humana.

Es la posibilidad de que el
Es la posibilidad de La posibilidad del error
sistema sufra daños por
interceptar radiaciones humano. Los administradores
causas del ambiente o
electromagnéticas y usuarios del sistema son
desastres naturales, como
para descifrar o alterar la una vulnerabilidad, ya que
incendios, tormentas,
información enviada tienen acceso a la red y
inundaciones, terremotos,
y recibida. al equipo.
humedad excesiva, picos de
bajas y altas temperaturas.
TÉCNICO EN
SEGURIDAD
VULNERABILIDADES
INFORMÁTICA
INFORMÁTICAS
Nivel 2

Nivel de Valor
vulnerabilidad
Para continuar el análisis, considera qué tan posible es que las vulnerabilidades
se explotenpara causar algún daño a los activos. Nulo 1
Bajo 2
Asigna un valor del 1 al 4 para determinar la vulnerabilidad de cada activo
conforme a la siguiente escala. Medio 3
Alto 4
Ejemplo
Al analizar un servidor de un banco se obtuvieron los siguientes datos:
Mala ubicación. El servidor se encuentra en un lugar, a la vista de cualquier
persona, aunque debiera estar en un lugar seguro.

Enfriamiento deficiente. Su temperatura es de 23°, y debería regularse entre 17°C y 21°C

Falta de mantenimiento. No se le da de manera periódica.

Falta de planta de emergencia.

Cuando se corte el suministro de energía,
el servidor dejará de funcionar
inmediatamente, lo que podría
dañar su contenido.

Con los datos obtenidos se elabora la siguiente tabla:

Valor
Código Activo Vulnerabilidad Nivel de
del
vulnerabilidad
activo
SU01 Servidor de 5 Mala ubicación 3
usuarios
Enfriamiento deficiente 2
Falta de mantenimiento 3
Falta de planta de 4
emergencia
 TÉCNICO EN
SEGURIDAD
EVALUACIÓN
DE RIESGOS
INFORMÁTICA
Nivel 2

Una vez que tienes la matriz de análisis de riesgo, lo que debes hacer es identificar los valores más altos,
y después relaciona su columna y fila. Por ejemplo:

• Riesgo Alto (16) de que entre un virus (columna) en las computadoras de recursos humanos (fila).

4 4 8 12 16

3 3 6 9 12

2 2 4 6 8

1 1 2 3 4

1 2 3 4
Escribe las relaciones de tal forma que tengan sentido y preséntalos en una tabla que incluya su valor de riesgo:

Riesgo Factor
Contaminación de virus en las computadoras de RH Alto (16)

Pérdida de la base de datos por usuario malicioso Alto (12)

Contaminación de virus en las computadoras de RH Alto (16)

Pérdida de la base de datos por usuario malicioso Alto (12)

Pérdida de la base de datos por usuario malicioso Alto (12)

La tabla anterior presenta los resultados, apóyate en ella para decidir en qué puntos debes implementar
controles que mitiguen los riesgos que valoraste.
 TÉCNICO EN
SEGURIDAD
CONTROLES
INFORMÁTICA
ADICIONALES
Nivel 3
2

CONTROLES DE INCIDENTES CONTROLES DE RECURSOS HUMANOS

Garantizan la notificación de las debilidades Gestiona la entrada y salida de personal

asociadas al sistema para la aplicación de de la organización. Se compone de:
medidas preventivas, esto lo logran con:
4. 1.
• Alarmas de seguridad • Investigación de antecedentes durante la
• Avisos de los puntos vulnerable de seguridad contratación
•Ofrecen posibles soluciones a los incidentes de • Términos y condiciones del puesto
seguridad • Educación y capacitación del personal
•Registran incidentes de seguridad para evitar • Cese o cambio de puesto
unreincidencia
CONTROLES
ADICIONALES
Son un complemento de los
controles principales para lograr
un manejo total de la organización
CONTROLES DE ADQUISICIÓN en las que se implementan.
DESARROLLO Y MANTENIMIENTO CONTROLES DE ACTIVOS

Garantizan la inclusión de controles de Manejan todos los activos, su ubicación o

seguridad en el desarrollo o actualización asignación al personal. Para esto realizan
de softwares. Estos se suman al sistema las siguientes acciones:
en cualquier momento requerido.
Para esto realizan las siguientes acciones: • Inventario de activos

•Inclusión de requisitos de seguridad para los

3. 2. • Propiedad de los activos
• Devolución de los activos
nuevos desarrollos
• Soporte de los activos
•Procedimientos de control de cambio de
sistemas
•Pruebas de funcionalidad durante el desarrollo
 TÉCNICO EN
SEGURIDAD
NIVELES DE SEGURIDAD
INFORMÁTICA
INFORMÁTICA
Nivel 4
2

El estándar más usado a nivel internacional para definir los niveles de seguridad informática está desarrollado por el Departamento de Defensa de los
Estados Unidos en el TCSEC (Criterios Confiables para la Evaluación de Sistemas Computacionales por sus siglas en inglés), mejor conocido por
Orange Book (libro naranja).

En él se definen las medidas de seguridad que debe seguir una red de equipos informáticos y las clasifica en 4 niveles de seguridad:

Nivel
Protección mínima
D Aquí se encuentran los sistemas informáticos que no son seguros, ya que no cuentan con mecanismos para restringir el acceso
al sistema.

Protección discrecional
C Los sistemas de este nivel son aquellos en los que cada usuario tiene acceso a diferente información. Por ejemplo, un equipo o
red que cuenta con un “Administrador” y varias cuentas de “Usuario”.
Existen dos subclases en este nivel:

Protección de seguridad discrecional: La base de datos del sistema permite que cada usuario
C1 tenga acceso a su información y la protege de otros que podrían leerla, alterarla o borrarla.

C2 Protección de acceso controlado: El administrador implementa procedimientos de acceso

seguro y puede monitorear las acciones de los usuarios del sistema.
 TÉCNICO EN
SEGURIDAD
NIVELES DE SEGURIDAD
INFORMÁTICA
INFORMÁTICA
Nivel 4
2

Nivel
Protección obligatoria
B Son sistemas que utilizan reglas de control de acceso. La información almacenada tiene un grado de sensibilidad definido
(secreto, privado, etc.), para saber quiénes pueden acceder a ella.

Seguridad etiquetada: Cumple con los requisitos del subnivel C2. Además debe ser capaz de
B1 etiquetar con precisión la información que se envíe. En este subnivel, el control de acceso es
obligatorio. Algunos usuarios tienen un permiso para acceder y modificar datos específicos.

Seguridad estructurada: En estos subsistemas, el modelo de políticas de seguridad debe estar

B2 expresado en un documento formal. Este nivel de seguridad requiere que todos los usuarios
tengan permisos específicos para acceder a los datos que contiene el sistema.

Dominios de seguridad: Los subsistemas con este nivel, todas las medidas de seguridad, tanto
B3 físicas (como cortafuego por hardware) como lógicas (por ejemplo, software de control de
acceso) deben probarse para comprobar que son casi invulnerables ante amenazas de seguridad.

Protección verificada
A
Este nivel requiere que todos los controles de seguridad del sistema se prueben, para asegurar que mantienen segura toda la
información almacenada y procesada.
 TÉCNICO EN
CONCEPTOS
SEGURIDAD
INFORMÁTICA
RELACIONADOS
Nivel 4
2
A LA ENCRIPTACIÓN

¿Qué significa encriptar?

Proteger un conjunto de datos (como los archivos electrónicos) codificando sus componentes, para que sean
ilegibles para todas las personas que no conozcan la contraseña secreta.

Texto Plano

Son los datos que se desean

Algoritmo de Encripción encriptar. Texto Cifrado

Es la secuencia de pasos que se sigue Son los datos a los que se les aplicó el
para “codificar” los datos. algoritmo de encripción.

Cifrado Llave Secreta

Es el proceso en el que se transforma Son parámetros como las claves o

un texto plano en un texto cifrado. algoritmos con los cuales se puede
Descifrar es el proceso inverso. encriptar y desencriptar un conjunto
de datos.

Encripción Simétrica Encripción Asimétrica

Fue el primer método usado para La encriptación moderna utiliza dos
encriptar. En este tipo, una sola llave llaves, una para cifrar y otra para
sirve para cifrar y descifrar descifrar.
información.
 TÉCNICO EN
SEGURIDAD
Cómo encriptar y desencriptar
INFORMÁTICA
UN ARCHIVO EN dsCrypt
Nivel 4
2

Una opción sencilla para evitar que los archivos de tus clientes puedan ser leídos por cualquier persona, es instalar
un programa para encriptarlos.

Para encriptar archivos:

1. Descarga el software gratuito “dsCrypt”:

http://members.ozemail.com.au/~nulifetv/freezip/freeware

2. Ejecuta el archivo “dscrypt.exe”.

3. Crea un documento en un bloc de notas, o procesador de palabras.
Guárdalo con el nombre “Documento de prueba 1”.
4. Con el ratón, arrastra el archivo que acabas de crear a la ventana de dsCrypt.
5. Crea una contraseña usando mayúsculas, minúsculas y números.
Te servirá después para abrir el archivo
6. Ingresa esa contraseña en ambos espacios en blanco.
7. Verifica que el archivo esté encriptado.
El archivo se guardará en la carpeta que has creado con la extensión “.dsc”.
8. Cierra la venta de dsCrypt.

Para desencriptar el archivo:

1. Ejecuta el archivo dscrypt.exe
2. Da clic en la pestaña “Mode” para elegir el modo “decrypt”
3. Arrastra, con el ratón, el documento encriptado a la ventana de dsCrypt.
4. Introduce la contraseña que creaste para acceder al archivo.
5. Verifica que el archivo sea accesible de nuevo.
Cuando se desencripta, el archivo vuelve a guardarse con su extensión original
(en este ejemplo, “.doc”).