Protección contra Amenazas Informáticas

Para completar una primera visión general sobre la seguridad informática hablaremos sobre la protección de nuestros sistemas.

Para proteger un sistema informático hemos de realizar un análisis de las amenazas potenciales que estos pueden sufrir, las pérdidas que podrían generar y la probabilidad de que ocurran dichas pérdidas.

Este análisis se realiza habitualmente a través de auditorías de seguridad. Estas auditorías permiten identificar vulnerabilidades y debilidades en la infraestructura de seguridad, así como evaluar la efectividad de las medidas de protección existentes.

Auditorias de seguridad de sistemas de información

Una auditoría, como comentábamos, es el estudio que analiza la gestión de sistemas para identificar y posteriormente corregir las diferentes vulnerabilidades que puedan presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicación o servidores de una organización.

Una vez obtenidos los resultados, se elabora un informe que detalla las vulnerabilidades encontradas, así como recomendaciones para mitigarlas. Este informe es fundamental para que la organización pueda implementar las mejoras necesarias y fortalecer su postura de seguridad.

Los objetivos de una auditoría de seguridad de un SI son:

Identificar vulnerabilidades y debilidades en la infraestructura de seguridad.
Evaluar la efectividad de las medidas de protección existentes.
Proporcionar recomendaciones para mejorar la seguridad del sistema.
Cumplir con normativas y estándares de seguridad.

Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base de auditorías de informática.

Por ejemplo, uno de ellos es COBIT (Control Objectives for Information and Related Technologies), un marco de trabajo que proporciona directrices para la gestión y gobernanza de la tecnología de la información en las organizaciones.

EL COBIT establece un conjunto de objetivos de control y prácticas recomendadas que ayudan a las organizaciones a alinear sus objetivos de TI con los objetivos empresariales, garantizando la seguridad, la eficiencia y la efectividad en el uso de los recursos tecnológicos.

Se apoya en los estándares de seguridad de la información ISO/IEC 27001, que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI) y proporciona un marco para la implementación de controles de seguridad adecuados.

Los servicios de una auditoría constan de las siguientes fases:

Planificación: Definición del alcance, objetivos y metodología de la auditoría.
Recolección de información: Obtención de datos sobre la infraestructura de TI, políticas de seguridad y procedimientos existentes.
Análisis de riesgos: Evaluación de las amenazas y vulnerabilidades identificadas, así como su impacto potencial en la organización.
Pruebas de seguridad: Realización de pruebas técnicas para identificar debilidades en los sistemas y controles de seguridad.
Informe de auditoría: Elaboración de un informe que detalla los hallazgos, conclusiones y recomendaciones para mejorar la seguridad.

Tipos de auditoría

Los servicios de una auditoría pueden ser de diferente índole:

Auditoría de seguridad interna: Evaluación de la seguridad de los sistemas y procesos internos de la organización.
Auditoría de seguridad externa: Evaluación de la seguridad de los sistemas y procesos de terceros que interactúan con la organización.
Auditoría de cumplimiento: Verificación de que la organización cumple con las normativas y estándares de seguridad aplicables.
Auditoría de riesgos: Evaluación de los riesgos asociados a la infraestructura de TI y la gestión de la seguridad.
Test de intrusión: Simulación de ataques cibernéticos para identificar vulnerabilidades en los sistemas y evaluar la efectividad de las medidas de seguridad implementadas.
Análisis forense: Investigación de incidentes de seguridad para determinar la causa raíz y el impacto de los mismos.
Auditoría de código fuente: Revisión del código fuente de las aplicaciones para identificar vulnerabilidades y asegurar que se siguen las mejores prácticas de desarrollo seguro.

La frecuencia con la que se realizan las auditorías de seguridad puede variar según las necesidades de la organización, el nivel de riesgo y los requisitos normativos. Algunas organizaciones optan por realizar auditorías de forma anual, mientras que otras pueden llevar a cabo auditorías más frecuentes, como trimestrales o semestrales, especialmente en entornos de alto riesgo o en respuesta a incidentes de seguridad.

Medidas de seguridad

A partir de los análisis realizados mediante auditorías hemos de diseñar una política de seguridad que defina responsabilidades y reglas a seguir para proteger la información y los sistemas de la organización. Esta política debe ser clara, accesible y comunicada a todos los empleados.

A los mecanismos utilizados para implementar la política de seguridad se les conoce como medidas de seguridad. Estas medidas pueden ser de diferentes tipos, y su implementación dependerá de las necesidades específicas de cada organización.

Las medidas de seguridad se pueden clasificar en base a diferentes criterios:

Según los recursos a proteger:
- Seguridad física: Protección de los recursos físicos, como edificios, equipos y dispositivos.
- Seguridad lógica: Protección de los recursos lógicos, como redes, sistemas y aplicaciones.
Según el momento en el que se ponen en marcha las medidas de seguridad:
- Seguridad activa: Medidas que se implementan de forma proactiva para prevenir incidentes de seguridad.
- Seguridad pasiva: Medidas que se implementan de forma reactiva para mitigar el impacto de incidentes de seguridad una vez que han ocurrido.

Seguridad Física

La seguridad física se refiere a las medidas diseñadas para proteger los recursos físicos de la organización, como edificios, equipos y dispositivos. Estas medidas son fundamentales para prevenir el acceso no autorizado, el robo y el daño a los activos físicos. Algunas de las prácticas comunes de seguridad física incluyen:

Control de acceso: Implementación de sistemas de control de acceso, como tarjetas magnéticas, biometría o guardias de seguridad, para restringir el acceso a áreas sensibles.
Videovigilancia: Uso de cámaras de seguridad para monitorear y grabar actividades en tiempo real, disuadiendo comportamientos delictivos.
Protección contra incendios: Instalación de sistemas de detección y extinción de incendios para salvaguardar la infraestructura física.
Seguridad perimetral: Establecimiento de barreras físicas, como cercas y muros, para proteger el perímetro de la organización.

Sobre la seguridad física y lógica

La seguridad física es un componente esencial de la estrategia de seguridad de cualquier organización. Al proteger los activos físicos, se reduce el riesgo de incidentes de seguridad que podrían comprometer la integridad de la información y los sistemas.

Ampliaremos la información sobre estos asuntos en el siguiente tema.

Normas básicas para un manual de seguridad informática

A la hora de elaborar un manual de seguridad informática hay que tener en cuenta una serie de normas básicas:

Claridad y concisión: El manual debe ser claro y conciso, evitando tecnicismos innecesarios que puedan dificultar su comprensión.
Actualización periódica: Es fundamental revisar y actualizar el manual de forma regular para adaptarlo a los cambios en la organización y en el entorno de amenazas.
Involucrar a todas las partes interesadas: La elaboración del manual debe contar con la participación de todas las áreas de la organización, incluyendo IT, recursos humanos y dirección.
Formación y concienciación: Es importante incluir secciones sobre formación y concienciación en seguridad para todos los empleados.
Cumplimiento normativo: El manual debe tener en cuenta las normativas y regulaciones aplicables a la organización, como la GDPR o la LOPD.

Siguiendo estas normas, se puede crear un manual de seguridad informática efectivo que proteja los activos de la organización y fomente una cultura de seguridad entre los empleados.

Actividad en grupo: Campaña de concienciación sobre la Ingeniería social

Objetivo

La actividad tiene como objetivo que los estudiantes comprendan las técnicas de ingeniería social más comunes y desarrollen habilidades para concienciar a otros sobre la importancia de la seguridad informática.

Actividad propuesta

Cada grupo debe diseñar una pequeña campaña de concienciación para usuarios no técnicos sobre las técnicas de ingeniería social más comunes y cómo protegerse contra ellas.

Para llevar a cabo la tarea pueden utilizarse diferentes formatos, como presentaciones, carteles, vídeos o infografías. Se valorará la creatividad y la claridad en la comunicación del mensaje.

Las técnicas más comunes de ingeniería social que se pueden incluir en la campaña son:

Phishing: Intentos de obtener información confidencial a través de correos electrónicos falsos o sitios web fraudulentos.
Pretexting: Creación de una historia falsa para obtener información de la víctima.
Baiting: Ofrecimiento de un incentivo para que la víctima revele información confidencial.
Tailgating: Acceso no autorizado a áreas restringidas siguiendo a una persona autorizada.
Spear phishing: Ataques de phishing dirigidos a individuos específicos.
Vishing: Phishing a través de llamadas telefónicas.
Smishing: Phishing a través de mensajes de texto (SMS).

Cada grupo debe abordar al menos tres de estas técnicas en su campaña de concienciación.

Documentación a entregar

Cada grupo deberá entregar en el aula virtual la siguiente documentación:

Un informe escrito que incluye:
- Descripción de las técnicas de ingeniería social seleccionadas.
- Ejemplos de situaciones en las que podrían ocurrir.
- Recomendaciones para prevenir y protegerse contra estas técnicas.

Formato del documento a entregar

El informe escrito deberá tener una extensión mínima de 3 páginas y un máximo de 5 páginas, incluyendo gráficos e imágenes. Se valorará la claridad y la organización del contenido.

Deben seguirse todas las indicaciones de formato y presentación establecidas aquí

El material gráfico de la campaña, que puede ser una de las siguientes opciones:
- Un cartel detallado dónde se expliquen las técnicas de ingeniería social seleccionadas y se incluyan consejos para prevenirlas.
- Una presentación multimedia que resuma los puntos clave de la campaña.
- Un vídeo corto (máximo 5 minutos) que explique las técnicas de ingeniería social y cómo protegerse contra ellas.
- Una infografía que visualice las técnicas de ingeniería social y las medidas de prevención.

Tabla de rúbrica de evaluación

Criterios	Excelente (4)	Bueno (3)	Aceptable (2)	Insuficiente (0-1)
Contenido del informe (35%)	Información completa y bien estructurada sobre las técnicas de ingeniería social.	Información adecuada, pero con algunos detalles faltantes.	Información incompleta o poco clara.	No se presenta información relevante.
Creatividad del material gráfico (30%)	Material gráfico innovador y atractivo que capta la atención.	Material gráfico adecuado, pero con poco impacto visual.	Material gráfico básico y poco atractivo.	No se presenta material gráfico.
Presentación y claridad (20%)	Presentación clara y profesional, con buena organización.	Presentación adecuada, pero con algunos problemas de organización.	Presentación confusa o desorganizada.	No se presenta una presentación clara.
Participación del grupo (15%)	Todos los miembros del grupo participan activamente y contribuyen al proyecto.	La mayoría de los miembros del grupo participan, pero algunos son menos activos.	Poca participación de los miembros del grupo.	No hay participación del grupo.

Auditorias de seguridad de sistemas de información​

Tipos de auditoría​

Medidas de seguridad​

Seguridad Física​

Normas básicas para un manual de seguridad informática​