Recuperación de sistemas...13

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Recuperación de sistemas...13"

Transcripción

1

2 1 Índice capítulo 1 Prólogo:...3 En qué consiste un análisis de riesgos? Inventariar los activos Detectar las amenazas Localizar sus vulnerabilidades Valorar el impacto Calcular el riesgo Implantar un control....7 capítulo 2 Cómo podemos proteger nuestros activos Riesgos de acceso Contraseñas o (Passwords) Sistemas Biométricos Certificados Digitales Protección contra código malicioso. Virus Integridad Copias de seguridad-backup Backup incremental Copias en caliente Cifrado de backups...12 capítulo 3 Recuperación de sistemas...13 capítulo 4 Gestión de la seguridad en las redes El Protocolo SSL, TSL VPN Protección de redes inalámbricas capítulo 5 La Certificación digital como elemento de seguridad en nuestras empresas Validación de los Certificados Usos Autenticación Firma Electrónica Cifrado...19 capítulo 6 Sello de tiempo...20 capítulo 7 Glosario:...21 >> Seguridad de la Información

3 2 El copyright de este documento es propiedad de Camerfirma. No está permitido su reproducción total o parcial ni su uso con otras organizaciones para ningún otro propósito, excepto autorización previa por escrito.

4 3 Prólogo La seguridad de la información describe los procesos empleados para garantizar la disponibilidad, integridad y confidencialidad de los datos ya sea en formato electrónico como en formato físico. Seria fácil responder si nos preguntaran las medidas de seguridad que emplearíamos para proteger un objeto de valor tangible, como por ejemplo unas joyas. Seguro que se nos ocurrirían muchas acciones que impidieran que estas fueran robadas o dañadas. No sería así si la pregunta fuera sobre un activo electrónico, como un documento en word o el acceso a los datos de nuestra información bancaria. En este caso no estaríamos tan seguros sobre las acciones a tomar. La diferencia es que imaginamos y visualizamos claramente cuales son las amenazas que pueden acechar a nuestro activo cuando este es tangible, conocemos sus vulnerabilidades y por lo tanto las protecciones adecuadas. Por el contrario, en el ámbito electrónico no tenemos tan claro estos parámetros: no conocemos las vulnerabilidades de los sistemas que empleamos y quiénes pueden aprovecharse de éstas para acceder a nuestra información, por lo tanto nos encontramos inseguros ante cualquier situación de riesgo. El objeto de esta guía es que las empresas conozcan los procedimientos, mecanismos y herramientas que pueden utilizar para adentrarse en el mundo electrónico con seguridad. Hoy en día uno de los activos más importantes en nuestras empresas es la cantidad de información que manejamos: facturas, datos de clientes y proveedores, proyectos y toda esta información la tenemos en formato digital. Es ya sabido que la seguridad total no existe, y si existiera seguramente no podríamos comprarla. Es muy difícil llegar a la seguridad 100% ya que a partir de un cierto punto los costes se disparan exponencialmente, por lo tanto nuestras expectativas de seguridad deben encontrarse en un punto razonable que cubra la mayor parte de nuestros riesgos. Debemos por lo tanto elegir soluciones adecuadas y proporcionadas sin caer por ejemplo en dedicar más recursos económicos a proteger un activo del valor del propio activo. El primer paso para conocer el estado de la seguridad de nuestros activos es realizar lo más detalladamente posible un análisis de riesgos. Este análisis nos ayudará a localizar nuestros puntos débiles y aplicar medidas que los corrijan. >> Seguridad de la Información

5 4 1. En qué consiste un análisis de riesgos? Un análisis de riesgos consiste en: > Inventariar activos > Detectar las amenazas > Localizar sus vulnerabilidades > Valorar el impacto Pasemos a profundizar en estos conceptos: 1.1 Inventariar los activos Para empezar debemos sentarnos y valorar qué es lo queremos proteger. Esta valoración no es sólo económica, sino que deberemos tener en cuenta otros valores intangibles como el honor y la imagen de nuestra empresa. Cuáles podrían ser los activos a proteger: > Datos personales. > Derechos de propiedad intelectual como fotografías y videos. > Datos de clientes. > Datos técnicos de configuración de aplicaciones Realizaremos una valoración de cada uno de estos activos en base a la importancia que le demos a cada uno. Podemos hacer esta valoración asignando al activo un valor entre 1 y 5. Donde 1 es el valor más bajo y 5 es la valoración más alta. capítulo 1. En qué consiste un análisis de riesgos?

6 5 1.2 Detectar las amenazas Vamos a pensar ahora en las amenazas posibles que pueden afectar a nuestros activos. Si no existieran, no tendríamos que protegerlos. De la misma forma que si vivimos en el desierto no tendríamos que preocuparnos por riesgos de inundaciones. Qué amenazas podemos encontrar? > Hackers > Fallos eléctricos > Empleados descontentos > Inundaciones > Terremotos 1.3 Localizar sus vulnerabilidades Una vez hemos seleccionado los activos a proteger debemos saber qué riesgos pueden tener con el fin de localizar sus vulnerabilidades. Por ejemplo, los discos duros de un ordenador pueden fallar y dejarnos sin la información acumulada en ellos, por lo tanto deberemos asegurarnos que podremos recuperar los datos en caso de que esto ocurra realizando copias en CDROM, DVD o en un discos externos. Otro ejemplo de vulnerabilidad lo encontramos en las aplicaciones informáticas, sabemos que no son perfectas y que deben ser actualizadas para incorporar las últimas correcciones. Otras vulnerabilidades pueden ser: > Falta de mecanismos de autenticación > Salas muy concurridas > La propia ubicación de la empresa > Redes desprotegidas >> Seguridad de la Información

7 6 1.4 Valorar el impacto Tendremos que valorar el impacto de que una amenaza aproveche una vulnerabilidad de nuestro activo y produzca un daño. La valoración que realizamos es subjetiva y podemos ayudarnos de nuevo de una ponderación entre 1 y 5: 1 impacto bajo y 5 impacto alto. Por ejemplo alguien se aprovecha de que tenemos una versión desactualizada de nuestro servidor de páginas en Internet para acceder al servidor y cambiarnos los datos de nuestra lista de precios. Consideraríamos este hecho como un impacto Calcular el riesgo Una vez que tenemos valorados todos estos parámetros estamos en disposición de calcular el riesgo de cada amenaza. El riesgo es la probabilidad de que una amenaza utilice una vulnerabilidad de muestro activo y nos produzca un impacto. Nos ayudaremos de esta tabla para decidir dónde debemos tomar medidas y donde el riesgo no es suficiente para la implantación de un control: La tabla muestra 3 variables (probabilidad, impacto y valor del activo). En base a estos tres parámetros la tabla nos ofrece un valor. Este valor nos dirá si es razonable la implantación de un control que proteja nuestro activo. Los valores resultantes están coloreados de amarillo (no necesita control), naranja (recomendado la implantación de control) y rojo (obligatorio). Las tres variables son ponderadas: > Valor del activo (de 1 a 5), donde 1 es el valor más bajo y 5 es el mas alto. > Nivel de impacto si una amenaza concreta se materializase sobre el activo (de 1 a 5), donde 1 es un impacto bajo y 5 es un impacto alto. > Probabilidad de que se produzca un impacto concreto (de 1 a 5), donde 1 es una probabilidad baja y 5 es una probabilidad alta. capítulo 1. En qué consiste un análisis de riesgos?

8 7 Pongamos un ejemplo: Consideremos un activo valioso en nuestra empresa, un activo de valor 5, por ejemplo el edificio donde se alojan nuestras oficinas. El edificio tiene una probabilidad 1 (muy baja) de que sea afectado por un rayo ya que en la zona donde se ubica no se forman normalmente tormentas. Analizando el impacto vemos que tiene un nivel muy alto 5 (si cae un rayo nos quedamos sin edificio). En este caso aunque la probabilidad sea muy baja la tabla nos da un valor 11 y por lo tanto deberíamos plantearnos poner un control, en este caso un pararrayos. Un ejemplo dentro de nuestros activos electrónicos sería nuestra base de datos de clientes. Es un activo importante (5) y tiene una probabilidad muy baja de que sea afectado por un pirata informático (1) ya que el equipo no está conectado a Internet. Como el impacto de perder los datos sería alto (5) vemos que el resultado que nos da la tabla es 11, esto quiere decir que recomienda poner controles a nivel interno como palabras de paso (contraseñas) para proteger el acceso no permitido y copias de seguridad para evitar posibles pérdidas de información. 1.6 Implantar un control Una vez conocido el riesgo asociado y obtenido un valor alto estamos obligados a elegir entre: > Eliminar el riesgo (poner un pararrayos). > Atenuarlo (instalarnos cerca de otro edificio que tenga pararrayos). > Asumirlo (esperar que no nos pase). > Diferirlo (subcontratar los servicios). En el caso de los activos electrónicos: > Eliminar el riesgo (poner una palabra de paso para acceder a la base de datos). > Atenuarlo (tener nuestro equipo en una sala cerrada con llave). > Asumirlo (esperar que no nos pase). > Diferirlo (albergar los servicios a una empresa externa). Para eliminar o atenuar el riesgo contamos con herramientas o como los hemos llamado en el análisis de riesgos, controles. >> Seguridad de la Información

9 8 2. Cómo podemos proteger nuestros activos Una vez hemos detectado los riesgos que pueden tener nuestros activos informáticos pasemos a ver cómo podemos protegerlos con el fin de eliminarlos o atenuarlos. 2.1 Riesgos de acceso Cuando hablamos de riesgos de acceso nos referimos a aquellos riesgos que implican el acceso a información o recursos por parte de personas no autorizadas. Para paliar estos riesgos contamos con soluciones tales como: Contraseñas o (Passwords) El primer y más básico de los controles que incorporamos para proteger un activo electrónico. El acceso por contraseña es el sistema de autenticación más usado y extendido, es un mecanismo que ha perdurado desde los orígenes de la informática. Este mecanismo consiste en pedir un nombre de usuario o identificativo y una contraseña asociada. Esta contraseña debe coincidir con aquella guardada por el sistema informático al que se accede, para ese usuario en particular. Digamos que es un secreto que compartimos entre el sistema informático y el usuario. El acceso por usuario y contraseña es un método de bajo coste y sencillo que ha permanecido mucho tiempo en vigor y que se resiste a desaparecer. Es evidente que por el contrario las amenazas han evolucionado notablemente en el mundo informático: Hay muchísima más gente que antes con posibilidad de acceder a nuestro equipo. El sistema de contraseña es fácilmente atacable, sobretodo si no se siguen algunas recomendaciones: > Evitar las claves genéricas de acceso. > Bloqueos de contraseñas después de varios intentos fallidos. > Cambios periódicos de la contraseña. > Las claves de acceso deben cumplir una política rigurosa respecto a su composición (dígitos, signos y números) de tal forma que no sean fácilmente atacables. Por otro lado las contraseñas deben ser a la vez fácilmente recordables a fin de evitar tener que escribirlas en un papel. La autenticación por contraseña es lo que se llama un sistema de factor simple (accedemos por algo que sabemos). Existen sistemas más fiables llamados de factor doble (algo que sabemos y algo que tenemos) incluso sistemas de factor triple (algo que sabemos, algo que tenemos y algo que somos como por ejemplo nuestra huella digital, o nuestro código genético). Normalmente necesitamos gestionar más de una contraseña: la de entrada al equipo informático la del correo la de móvil, la de los servicios bancarios etc. Para resolver esta situación es común utilizar la misma contraseña para todo. Esto es una brecha de seguridad importante ya que una vez alguien consiga una de las contraseñas podrá acceder a capítulo 2. Cómo podemos proteger nuestros activos

10 9 todos nuestros servicios electrónicos. Si no queremos utilizar siempre la misma (algo radicalmente desaconsejable) podemos utilizar herramientas de gestión de contraseñas como PasswordSafe o Keepass de distribución gratuita y que permite la gestión de múltiples contraseñas recordando sólo una Sistemas Biométricos Los sistemas biométricos emplean rasgos físicos del usuario para autenticarnos ante un equipo informático. Podemos encontrarnos lectores de huellas digitales, de iris o reconocimientos de voz. Los sistemas biométricos son cada vez más precisos, aunque debemos considerar las tasas de falsos positivos (cada vez menores) o sobre todo falsos negativos. Los sistemas biométricos más usados actualmente son los de huella digital. Los sistemas biométricos pueden combinarse con otros sistemas de autenticación para dotarle de un factor adicional, por ejemplo tarjetas criptográficas Certificados Digitales Los sistemas de certificación digital permiten conseguir una identificación de doble factor algo que tenemos (clave criptográfica privada) y algo que sabemos (PIN de activación de la clave). Veremos más adelante los mecanismos de seguridad ofrecidos por los certificados digitales. Estas tres primeras herramientas regulan el acceso directo a nuestros equipos o bases documentales. Pero existen otros riesgos que van más allá del mero acceso físico. 2.2 Protección contra código malicioso. Virus Prácticamente todo el mundo es consciente de las amenazas que supone un acceso a Internet, ningún usuario a día de hoy accede a Internet sin tener al menos un antivirus instalado en su equipo. Sin embargo, el problema más común es que una vez instalado la sensación de seguridad crece de forma desproporcionada e injustificada. Un antivirus no es la solución si éste no se actualiza de forma periódica. Para ello es necesario que nuestro proveedor disponga de un servicio de actualización en línea y que configuremos nuestro antivirus para que cada vez que nos conectemos a Internet busque nuevas actualizaciones. Los virus se aprovechan de vulnerabilidades del sistema operativo o de las aplicaciones, por lo tanto es fundamental para la seguridad de los recursos informáticos tener instaladas las últimas versiones y parches de los sistemas y de las aplicaciones usadas. Los programas antivirus actuales suelen incorporar ya herramientas completas de antivirus, antispyware, antispam, antiphising, cortafuegos y otros mecanismos de protección contra ataques habituales. Veamos en qué consisten algunos de ellos: > Anti-Spyware. El Spyware son programas espías que se dedican a enviar información a terceros de los sitios a los que conectamos. Estos programas se pueden instalar sin nuestro conocimiento al visitar páginas maliciosas en Internet. > Anti -SPAM. El spam es correo no deseado que inunda las cuentas de correo. Normalmente obtienen nuestro de formularios o de ordenadores que tienen nuestra cuenta como contacto. >> Seguridad de la Información

11 10 > Firewall. Firewall personal. Gestión de políticas de acceso (entrada/salida) a las aplicaciones del equipo. Mediante unas reglas de actuación decimos al ordenador que peticiones de entrada salida están permitidas. > Anti-Dialers. Los dialers se instalan como programas en nuestro equipo sin nuestro conocimiento y desvían, sin que nos enteremos, las conexiones que realizamos con nuestro ordenador a Internet hacia números de teléfono de pago. Este ataque es efectivo si tenemos configurado el sistema para acceder a Internet vía línea telefónica común y MODEM. > Anti-Phishing. El phising utiliza links trucados para dirigirnos a sitios Web clonados, normalmente de entidades bancarias. En estos sitios clonados nos piden los datos de acceso a nuestro servicio bancario en Internet con la excusa de mejorar la seguridad. Una vez en posesión de nuestros datos acceden al servicio bancario real y realizan trasferencias de nuestros fondos. 2.3 Integridad Una propiedad básica de los sistemas informáticos es la integridad. Esto quiere decir han de ser capaces de detectar cualquier modificación realizada en ellos. La modificación de un sistema operativo puede indicar que se ha producido una intrusión en el mismo. Un sistema de verificación de integridad nos permitirá descubrir de forma rápida si alguna parte del sistema se ha visto modificada desde la última vez que realizamos el control. Existen múltiples herramientas de seguridad que permiten controlar si un fichero o un conjunto de ficheros han sido modificados. Dentro de las herramientas utilizadas para este fin, la más conocida sin duda es Tripwire, un desarrollo del proyecto COSAT de la Universidad de Purdue (EEUU). Esta herramienta está disponible bajo licencia libre. Para proteger nuestras aplicaciones contamos con OpenSSL. OpenSSL es una herramienta que nos permite acceder a funciones criptográficas Podemos usar también funciones criptográficas de resumen como MD5, SHA1, RIPEMD...etc. que podemos encontrar en aplicativos como OpenSSL de distribución gratuita. Si queremos conocer si un documento electrónico ha sido modificado realizamos sobre una copia correcta de este una operación resumen por ejemplo SHA-1 y obtendremos un cogido resumen. Guardamos este código y cuando queramos posteriormente tener una prueba de integridad realizaremos de nuevo la operación. El resultado de esta operación debe ser el mismo de otra manera el documento ha sido alterado. Un código resumen como se deduce del texto anterior es el resultado de aplicar un algoritmo matemático sobre unos datos electrónicos. Este código resumen tiene las propiedades de identificar de manera única los datos electrónicos en los que se basa, ya que si estos cambiasen el código resumen cambiaria también. capítulo 2. Cómo podemos proteger nuestros activos

12 Copias de seguridad-backup Para prevenir la pérdida de información en nuestras empresas un proceso que nos ayuda es la realización de copias de seguridad de nuestros activos. Nadie puede valorar realmente una copia de seguridad a no ser que haya perdido en segundos los frutos obtenidos después de mucho trabajo. Incluso con esta terrible experiencia la realización de copias de backups es una asignatura pendiente para la mayoría de los usuarios de sistemas informáticos. Las copias de seguridad son una de las herramientas más eficaces para recuperar el estado de un sistema a la situación anterior a una incidencia. Siendo un proceso tan básico en la seguridad de la información, no existe una concienciación adecuada ni siquiera dentro de los profesionales informáticos. Debemos tener actualizadas nuestras copias de seguridad si no éstas no nos sirven para nada. Hoy en día existen multitud de herramientas que permiten la automatización de las copias de backup pudiéndose realizar de manera transparente para el usuario y minimizando las perdidas de información. SYNCBACKUP es una herramienta como otras muchas que permite la realización centralizada de backups. SYNCBACK permite la recolección de información de los puestos de usuario a un sistema centralizado donde se van incorporando los nuevos ficheros encontrados o las actualizaciones. La recuperación de los datos se puede realizar mediante el acceso al sistema central. La recogida de información se puede programar de tal forma que esta se realice en momentos de menos carga de trabajo. Tendremos que evaluar la ventana de riesgo entre copias de backup. Si realizamos una copia diaria, en el peor de los casos podríamos perder información de un día completo de trabajo. Existen servicios de backup remotos que recogen los datos de los equipos de usuario y lo almacenan en ubicaciones externas. Este servicio por supuesto simplifica y abarata los costes de implantación pero incorpora un riesgo adicional al enviar nuestros datos a empresas externas. En estos casos deberemos asegurarnos de que los datos sólo salen cifrados y permanecen así en los equipos del proveedor Backup incremental Una manera de utilizar de forma más eficiente los sistemas de backup es ir haciendo sólo copia de aquella información añadida o modificada sobre los datos ya guardados, en vez de ir creando copias completas. Es lo que llamamos backups incrementales. Los backups incrementales necesitan de una gestión ordenada, disponiendo de copias completas duplicadas y las diferentes copias de los backups incrementales hasta llegar a una recuperación completa del sistema. >> Seguridad de la Información

13 Copias en caliente En algunos casos debido a la criticidad de los datos obliga a tener copias de estos en caliente. Una copia en caliente es una copia replicada en el mismo momento de producirse algún cambio en los datos, lo que nos permite mantener una ventana de riesgo cercana a 0 desde que se produce una incidencia. Para protegerlos de amenazas físicas la copia en caliente es recomendable ubicarla en un lugar remoto Cifrado de backups Los dispositivos de almacenamiento que contienen información de copias de seguridad (CD, DVD, Cintas, Discos Duros, etc.) deben estar protegidos convenientemente. Es aconsejable tener una caja de seguridad ignifuga para su almacenamiento en las instalaciones de la empresa y en instalaciones de seguridad externas. La caja de seguridad de un banco puede ser una solución aceptable y económica. VICEVERSA es una herramienta de copia y sincronización de fichero de bajo precio que puede sernos útil a la hora de replicar nuestros ficheros y mantenerlos cifrados para su posterior envío o custodia. capítulo 2. Cómo podemos proteger nuestros activos

14 13 3. Recuperación de sistemas Una práctica muy común en la gestión de la seguridad de sistemas informáticos complejos es la de desarrollar un plan de contingencias donde describamos el mayor número de situaciones problemáticas a las que nos podamos enfrentar. Para cada una de estas situaciones debemos describir las acciones que deberíamos realizar para resolverlas. Nos daremos cuenta entonces de los elementos, que dada esa situación, necesitaríamos para resolverla y nos permitirá prepararnos antes de que se produzca la incidencia. En algunos casos necesitamos recuperar un sistema completo, (bases de datos, sistemas operativos, configuraciones, aplicativos...etc.) que hemos perdido, a causa de un error irrecuperable en un disco, es decir reproducir desde cero todo el sistema. La recuperación de un sistema es una tarea que requiere mucho tiempo y que difícilmente termina con el equipo en la misma situación en que estaba en el momento de producirse el problema. Evidentemente, tendremos que recurrir a copias de backup del sistema de las bases de datos, de las configuraciones de las aplicaciones, etc. Existen formas más eficaces de enfrentarnos a este problema como: > Acronis trueimage para la recuperación de sistemas en entorno Windows y Linux. > Symantec backup EXEC para la recuperación de datos. Podemos acceder también a una solución cada vez más extendida como es la virtualización de entornos. El caso es que desde una imagen de nuestro sistema lo pudiéramos recuperar en cuestión de minutos. La virtualización se refiere a crear máquinas virtuales dentro de maquinas reales (físicas). Una máquina física puede por lo tanto contener múltiples maquinas virtuales con distintos entornos operativos y ejecutando aplicaciones diferentes. Esto nos permite abstraernos de entorno físico de la máquina y tener imágenes grabadas de maquinas virtuales que se pueden reproducir en otro entorno físico de manera inmediata. >> Seguridad de la Información

15 14 4. Gestión de la seguridad en las redes En redes abiertas como Internet la seguridad de la información en tránsito es un elemento a tener en cuenta. La base sobre la que se sustenta Internet no es la seguridad, sino más bien su robustez y su disponibilidad. Disponemos de varios mecanismos para asegurar las comunicaciones. 4.1 El Protocolo SSL, TSL SSL/TSL es un protocolo de comunicación segura que proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Sabremos cuando utilizamos estos protocolos porque tecleamos en el navegador https:// en vez del clásico Cuando enganchamos un equipo a Internet este se identifica mediante un número de dirección único llamado IP (Internet Protocol). Este número tiene el siguiente aspecto: Marcando estos dígitos en un navegador podríamos contactar con el equipo en cuestión. Este procedimiento obviamente es muy poco amigable. Para resolverlo se crearon unas especies de guías telefónicas llamadas servidores de nombres (DNS) que asocian un nombre de dominio a una IP. Por ejemplo que es mas fácil de recordar que el numero IP, y que finalmente es lo que ponemos en el navegador. Existen empresas que ofrecen los servicios de nombres de dominio asociando el nombre elegido a la dirección IP de nuestro equipo. Antes de asignarnos el nombre, las empresas verifican que no este ya asignado y registran a los contactos de solicitante, del dueño del citado dominio y obviamente cobran sus servicios. También como parte del proceso de adjudicación se pueden pedir comprobaciones sobre la propiedad de marca. Para mejorar la seguridad de los acceso mediante dominios se han establecido los protocolos SSL/TSL. El proceso se inicia mediante la presentación de un certificado digital por parte del servidor de páginas Web a la que estamos accediendo y que informa sobre la propiedad del dominio. Un dominio recordemos es el nombre con el que se identifica el sitio Web, por ejemplo en miempresa.com seria el dominio. También establece un canal seguro cifrando la información enviada entre cliente y servidor. El protocolo SSL, permite también la identificación por el mismo medio del usuario que accede a la Web. En este caso al cliente le será exigido un certificado digital válido como elemento de autenticación. Si el usuario presenta un certificado válido para el servidor, el sistema le dejará acceder a los contenidos y lo rechazará en caso contrario. En este escenario obtenemos: > una identificación del servidor > identificación del cliente y > un canal cifrado. capítulo 4. Gestión de la seguridad en las redes

16 15 Como vemos unas garantías suficientes para ofrecer servicios vía Web seguros. El establecimiento de estos protocolos no incorpora más gastos adicionales que la configuración del servidor de páginas Web y la adquisición de los certificados de servidor seguro y cliente. 4.2 VPN La mayoría de los productos de cortafuegos (Firewall) permiten la configuración de canales de conexión segura vía VPN (Virtual Private Network), Red Privada Virtual. Se trata de fabricar un canal seguro extremo a extremo, de la misma forma que lo hace el protocolo SSL en entornos WEB. Las conexiones VPN permiten conectar de forma segura distintas oficinas utilizando redes públicas como Internet. La sensación es la de tener una propia red privada como indica su nombre. La utilización de Internet reduce considerablemente los costes de comunicación en las empresas en detrimento tecnologías antiguas como las líneas punto a punto. La configuración de una red VPN permite en muchos casos el desarrollo del tele-trabajo al ofrecer un canal seguro de acceso a los servidores centrales de la compañía desde el hogar del tele-trabajador. También podemos conectar equipos de comunicación de dos sedes de una empresa con los propios enrutadores de las oficinas a través del establecimiento de una VPN encargándose estos dispositivos de hacer que las redes de las dos sedes sean virtualmente la misma. 4.3 Protección de redes inalámbricas Las redes inalámbricas cada vez están copando una mayor cuota de mercado, esta tecnología evita tener que realizar complejas instalaciones de cableado y garantizar la movilidad de los dispositivos es un aliciente importante, pero el uso de esta tecnología tiene sus desventajas: > Todos los que estén en un radio de 100 m aproximadamente son intrusos potenciales. > La información se transmite por el aire y, por lo tanto, puede ser "vista" por cualquiera que esté en el radio de 100 m. > Nos podemos conectar equivocadamente (o voluntariamente) a redes que se encuentren abiertas en el radio de 100 m y esto puede ser muy peligroso para la seguridad de nuestro equipo. > Cualquier "vecino" puede captar los códigos y las contraseñas cuando los intentamos conectarnos a los servicios electrónicos. Visto lo anterior, deberemos configurar los mecanismos de seguridad para evitar los problemas asociados a esta tecnología. >> Seguridad de la Información

17 16 5. La Certificación digital como elemento de seguridad en nuestras empresas El certificado digital es un elemento de control de riesgo electrónico en el proceso de identificación. La utilización de usuario y contraseña demuestran una fortaleza limitada al asegurar la identidad del usuario electrónico, sobre todo cuando se utilizan contraseñas débiles formados por números o palabras del diccionario fácilmente atacables. Como se ha apuntado anteriormente el certificado digital es un elemento de autenticación de doble factor, es decir algo que se sabe PIN de activación de la clave y algo que se tiene la clave. El certificado digital se basa en tecnología criptográfica de clave pública. La tecnología de clave pública consiste en la generación de dos claves criptográficas complementarias. Una clave es llamada pública ya que se dará a conocer a todos y otra privada que es custodiada y conocida solo por el usuario. Cuando se cifra un mensaje con una clave la otra clave complementaria puede descifrarlo y viceversa. La custodia de la clave privada puede hacerse mediante un fichero software protegida por una contraseña o en una tarjeta criptográfica con una contraseña de acceso. El mecanismo técnico del funcionamiento de la tecnología de clave pública es el siguiente: cuando A usa la clave privada para cifrar un mensaje este puede ser recuperado por B usando la clave publica de A de tal forma que si esto se produce podemos asegurar que el mensaje ha sido originado por A, el poseedor de la clave privada. Este hecho produce la autenticación del usuario A sin tener que enviar ningún dato privado por la red. También podemos usar la tecnología de clave pública para cifrar el contenido de un documento o mensaje. Si B cifra un mensaje con la clave publica de A se asegurará que solo A con su clave privada puede acceder al contenido del documento. capítulo 5. La Certificación digital como elemento de seguridad en nuestras empresas

18 17 El certificado digital es simplemente un documento electrónico emitido por una tercera parte de confianza (Prestador de Servicios de Certificación, PSC) acreditando que la clave pública matemáticamente relacionada con la clave privada esta asociada a una identidad concreta. Es importante valorar al emisor del certificado (PSC) para que el sistema de autenticación y cifrado tenga el soporte suficiente. Un mismo PSC puede emitir diferentes tipos de certificados para diferentes usos y ofreciendo garantías diferentes. 5.1 Validación de los certificados Un aspecto importante a considerar en el uso de los certificados digitales es el proceso de validación de estos. Un certificado digital tiene una duración temporal, dentro de este periodo de validez el certificado puede perder su efectividad por diferentes causas (robo, perdida de los datos de activación de la clave, cambio de datos...etc.) en este caso el certificado debe ser revocado y el prestador debe hacerlo público. Una persona o una aplicación deben verificar un certificado digital antes de darlo como válido. La forma que un prestador tiene para hacer público este hecho es mediante: > CRL: Listas de revocación (Certification Revocation List). Son listas de certificados que estando en vigor han perdido su efectividad. > OCSP: (Online Certificate Status Protocol) Servicio de consulta del estado de los certificados. La consulta se realiza accediendo a un servicio online y recibiendo una respuesta inmediata sobre el estado del certificado en cada momento. Un certificado digital debe ser verificado en el momento de su uso efectivo (al autenticarse, al producir una firma o al cifrar >> Seguridad de la Información

19 18 datos). Es entonces cuando debemos estar seguros de su validez. Por este hecho que se aconseja siempre que sea posible incorporar el estado del certificado en origen. Algunos prestadores de certificación ofrecen el acceso al sistema de validación con una contraprestación económica, deberemos por lo tanto tener en cuenta este aspecto. AC Camerfirma por ejemplo no penaliza económicamente el acceso a las CRL emitidas ni al servicio OCSP. El certificado digital como elemento de control de riesgo es muy efectivo en diferentes aspectos de la gestión de la seguridad en los sistemas de Información. 5.2 Usos Autenticación Identificación para acceso físico a los equipos (móviles o de sobremesa). Para ello contamos con sistemas de Smartcard logon que se pueden configurar en redes corporativas, siempre que el certificado este incorporado en una tarjeta o en un dispositivo USB. Además, en la misma tarjeta que da soporte al certificado se puede incorporar: > Tecnología RFID (identificación vía radio) para el acceso físico a áreas restringidas. > Datos de identificación física al poder incorporar nuestra foto y datos personales. > Una banda magnética para el control de acceso a las instalaciones o el control de entradas/salidas del personal. La Certificación Digital puede identificar y cifrar canales de comunicación empleando protocolos SSL. Este protocolo es el usado en muchos servicios de páginas Web mediante accesos HTTPS. El certificado de Servidor asegura la identidad del sitio Web y el cifrado del canal de datos. Este mecanismo es importante cuando recogemos datos personales por ejemplo en formularios Web. El certificado puede no sólo identificar al sitio Web sino que también (como hemos visto anteriormente al hablar de los canales SSL) puede hacerlo con el usuario que accede. Mediante la configuración de nuestro servidor de páginas web podemos pedir una identificación mediante certificado digital a nuestro visitante en áreas restringidas de nuestro servicio. De esta forma en un sitio web podríamos tener la identificación del servidor la identificación del usuario y el canal de datos cifrado Firma electrónica El certificado digital, es actualmente la referencia principal para realizar la firma electrónica. La firma electrónica es un proceso por el cual, mediante medios electrónicos, asociamos la voluntad o el compromiso de una persona con una serie de datos electrónicos, de la misma forma que hacemos con nuestra firma manuscrita sobre papel. La firma electrónica tiene aspectos jurídicos que es importante conocer: > Firma electrónica avanzada: Ofrece garantías técnicas de origen e integridad de los documentos o transacciones capítulo 5. La Certificación digital como elemento de seguridad en nuestras empresas

20 19 electrónicas firmadas aunque no tiene valor jurídico directo sino que debe argumentarse la prueba en caso de un proceso legal. > Firma electrónica reconocida o cualificada: Ofrece garantías de origen e integridad de los documentos o transacciones electrónicas firmadas. Tiene valor jurídico equivalente a la firma manuscrita. La firma electrónica ofrece garantías de compromiso del firmante e integridad de los ficheros, documentos y transacciones firmadas. El certificado también puede servir para firmar electrónicamente programas que se ejecutan en los navegadores como activex, applets java, etc. de esta forma conoceremos: quien lo ha desarrollado, y si ha sido modificado el código antes de ejecutarlo. También puede firmar macros de Microsoft Office con el mismo objetivo Cifrado Otra funcionalidad de los certificados digitales es la posibilidad de cifrar información. El cifrado de información es un proceso delicado y con alto riesgo ya que si no somos cuidadosos podemos perder fácilmente la información cifrada. En el proceso de firma con los certificados digitales usamos la clave pública asociada al certificado para realizar el cifrado de datos electrónicos, posteriormente necesitaremos la clave privada para recuperarlos. Es fundamental por lo tanto tener acceso a esta clave en todo momento si no queremos perder el control sobre nuestros datos firmados. Para asegurarnos de esto deberemos realizar copias de seguridad de la clave. Es altamente recomendable que si utilizamos los certificados digitales para cifrar datos lo hagamos usando un certificado expresamente emitido este uso. En este caso el Prestador de Servicios de Certificación podrá guardar una copia de la clave privada por si nosotros la perdemos. Windows ofrece la posibilidad de configurar el sistema EFS de cifrado de archivos y discos duros mediante certificados emitidos por terceras partes. >> Seguridad de la Información

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito.

comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito. comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito. Es seguro comprar con tarjetas de crédito a través de Internet? El Comercio Electrónico

Más detalles

SEGURIDAD EN INFORMÁTICA

SEGURIDAD EN INFORMÁTICA SEGURIDAD EN INFORMÁTICA LA SEGURIDAD Y SUS IMPLICACIONES Características principales de la seguridad en Internet: Confidencialidad. Sólo deben tener acceso a aquellas personas autorizadas para ello. Autentificación

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

Glosario alfabético de términos tic

Glosario alfabético de términos tic Glosario alfabético ADSL: Línea de Suscripción Asimétrica Digital. Es utilizada para obtener conexión a Internet. Respecto a otras tecnologías, mejora el ancho de banda de la conexión analógica tradicional.

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática 1. SEGURIDAD INFORMÁTICA 1.1. Seguridad informática Seguridad física. Se entiende como el conjunto de medidas y protocolos para controlar el acceso físico a un elemento. Aplicado a la seguridad informática

Más detalles

Los virus informáticos

Los virus informáticos SEGURIDAD DE LA INFORMACIÓN Es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a amenazas de los siguientes tipos: - Sin intervención humana Amenazas

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web Unidad 4 Criptografía, SSL/TLS y HTTPS Índice Introducción. Criptografía Introducción Algoritmos criptográficos Introducción. Clave secreta. Clave pública. Funciones resumen (hash). 2 Índice Firma digital.

Más detalles

Transferencia segura de Datos en Línea con SSL

Transferencia segura de Datos en Línea con SSL Transferencia segura de Datos en Línea con SSL Guía para comprender los certificados SSL, cómo funcionan y su aplicación 1. Aspectos generales 2. Qué es SSL? 3. Cómo saber si un sitio web es seguro 4.

Más detalles

Conceptos útiles y glosario de definiciones

Conceptos útiles y glosario de definiciones http://www.java.com/es/download/faq/helpful_concepts.xml junio 16, 2015 Conceptos útiles y glosario de definiciones Para ayudar a los que visiten las páginas de ayuda con los conceptos y términos con los

Más detalles

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0

SEGURIDAD DE LOS DATOS 1/1. Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 SEGURIDAD DE LOS DATOS 1/1 Copyright Nokia Corporation 2002. All rights reserved. Ver. 1.0 Contenido 1. INTRODUCCIÓN... 3 2. ARQUITECTURAS DE ACCESO REMOTO... 3 2.1 ACCESO MEDIANTE MÓDEM DE ACCESO TELEFÓNICO...

Más detalles

CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0.

CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0. CUESTIONES DE INFORMÁTICA DEL TEMA 3. LA SOCIEDAD DE LA INFORMACIÓN Y LA WEB 2.0. 1. Explica qué es el protocolo TCP/IP El protocolo TCP/IP es el que permite a los ordenadores conectados a Internet gestionar

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

Mercedes Martin Security & Privacy Initiatives

Mercedes Martin Security & Privacy Initiatives Guía de Seguridad 9 PASOS PARA IMPLEMENTAR LA SEGURIDAD INFORMÁTICA EN SU EMPRESA Elaborado por: Mercedes Martin Security & Privacy Initiatives Versión 1.0 Final Noviembre 24, 2008 INDICE DE CONTENIDO

Más detalles

Seguridad SSL Número: 18 Sección: Artículos.

Seguridad SSL Número: 18 Sección: Artículos. Seguridad SSL Número: 18 Sección: Artículos. Es un hecho de todos conocido que Internet constituye un canal de comunicaciones inseguro, debido a que la información que circula a través de esta vasta red

Más detalles

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2.

El contenido de este fichero está publicado bajo una licencia Creative Commons. Reconocimiento-NoComercial-SinObraDerivada 2. El contenido de este fichero está publicado bajo una licencia Creative Commons. La licencia bajo la que se encuentra este fichero es: Reconocimiento-NoComercial-SinObraDerivada 2.1 España Puede ver el

Más detalles

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue CRIPTOGRAFIA Qué es, usos y beneficios de su utilización Introducción Antes, computadoras relativamente aisladas Hoy, computadoras en redes corporativas conectadas además a Internet Transmisión de información

Más detalles

TEMA 3. SEGURIDAD INFORMÁTICA

TEMA 3. SEGURIDAD INFORMÁTICA TEMA 3. SEGURIDAD INFORMÁTICA 1. SEGURIDAD INFORMÁTICA 2. CONTRA QUÉ NOS DEBEMOS PROTEGER? 3. SEGURIDAD ACTIVA Y PASIVA 4. LAS AMENAZAS SILENCIOSAS 5. LOS PROGRAMAS QUE PROTEGEN NUESTRO ORDENADOR a. El

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

Cuaderno de notas del OBSERVATORIO CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS

Cuaderno de notas del OBSERVATORIO CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS Comprobar la integridad de un fichero consiste en averiguar si algún

Más detalles

Kit Izenpe. Instalación y manual de Usuario para Windows

Kit Izenpe. Instalación y manual de Usuario para Windows Sumario Introducción... 3 A quién va dirigido este documento... 3 Antes de comenzar... 3 Instalación... 4 Instalación desatendida (para usuarios avanzados)... 7 Problemas durante la instalación... 8 Fin

Más detalles

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios.

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Encarnación Sánchez Vicente 1. INTRODUCCIÓN No cabe ninguna duda que en nuestros días, la información es la clave. Esta

Más detalles

MALWARE versus SEGURIDAD DE LA INFORMACIÓN

MALWARE versus SEGURIDAD DE LA INFORMACIÓN MALWARE versus SEGURIDAD DE LA INFORMACIÓN La información al alcance de cualquiera? F. Javier Bruna Sánchez Ingeniero en Informática Auditor de normas internacionales sistemasgestion@secartys.org 1 aunque

Más detalles

Guía para principiantes. sobre los certificados SSL. Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad en Internet

Guía para principiantes. sobre los certificados SSL. Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad en Internet WHITE PAPER: Guía PARA principiantes sobre los certificados SSL White paper Guía para principiantes sobre los certificados SSL Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad

Más detalles

Aspectos relevantes relacionados con la seguridad

Aspectos relevantes relacionados con la seguridad Aspectos relevantes relacionados con la seguridad En BBVA, somos conscientes de la necesidad de garantizar la seguridad durante la transferencia de datos entre el banco y sus clientes. Por ello, disponemos

Más detalles

CERTICAMARA S.A. CERTIFICADOS DE SEGURIDAD EN REDES SSL SYMANTEC. Validez y seguridad jurídica electrónica. Confianza en medios electrónicos!

CERTICAMARA S.A. CERTIFICADOS DE SEGURIDAD EN REDES SSL SYMANTEC. Validez y seguridad jurídica electrónica. Confianza en medios electrónicos! Certicámara. Validez y seguridad jurídica electrónica CERTICAMARA S.A. CERTIFICADOS DE SEGURIDAD EN REDES SSL SYMANTEC 15 de Agosto de 2012 Confianza en medios electrónicos! INTRODUCCIÓN Por qué necesito

Más detalles

ESET SMART SECURITY 6

ESET SMART SECURITY 6 ESET SMART SECURITY 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET Smart

Más detalles

Servidores web. Qué es un servidor web? Tipos de servidores. Lic. Lorena Bernis

Servidores web. Qué es un servidor web? Tipos de servidores. Lic. Lorena Bernis Servidores web Qué es un servidor web? Tipos de servidores. Lic. Lorena Bernis Servidores web 2 SERVIDOR En informática, un servidor es un tipo de software que realiza ciertas tareas en nombre de los usuarios.

Más detalles

Cuaderno de notas del OBSERVATORIO

Cuaderno de notas del OBSERVATORIO Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación k MEDIDAS DE SEGURIDAD PARA TRANSACCIONES ONLINE Utilizar Internet para realizar transacciones económicas tanto gestiones

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

8 INTERNET. LIBRO DEL NAVEGANTE RA-MA

8 INTERNET. LIBRO DEL NAVEGANTE RA-MA ÍNDICE PRÓLOGO...15 CAPÍTULO 1. QUÉ ES INTERNET...17 QUÉ SIGNIFICA INTERNET...17 QUÉ ES LA RED INTERNET...21 PARA QUÉ VALE INTERNET...23 HISTORIA DE INTERNET...25 Nacimiento de TCP/IP...26 Nacimiento de

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Programa de estudio versión 1.0 The European Computer Driving Licence Foundation Ltd (ECDL Foundation) Third Floor Portview House Thorncastle Street Dublin 4, Ireland Tel: +353 1

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

Seguridad Informática

Seguridad Informática BIBLIOTECA UNIVERSITARIA Seguridad Informática Material formativo Reconocimiento NoComercial-CompartirIgual (By-ns-sa): No se permite un uso comercial de la obra original ni de las posibles obras derivadas,

Más detalles

La firma digital Las TIC en el comercio minorista de Aragón

La firma digital Las TIC en el comercio minorista de Aragón La firma digital Índice 1. Presentación... 3 2. Firma electrónica... 4 3. Cómo funciona?... 5 4. Cómo se consigue?... 6 5. Dónde se utiliza?... 7 6. Certificados digitales... 8 7. Características... 9

Más detalles

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA matedi 2014. TITULO 1 ÍNDICE 1. ANTECEDENTES. 2.CONSULTORÍA. 3. VALORACIÓN. 4. RESUMEN. matedi 2015. 2 1. ANTECEDENTES. Las empresas llevan a cabo una serie

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Glosario de términos

Glosario de términos Glosario de términos Acreditación Proceso por el cual se verifica, ante la Autoridad Administrativa Competente, que la planta de certificación PKI cumple con los estándares internacionales contemplados

Más detalles

Guía para la implementación de mejores prácticas de seguridad informática.

Guía para la implementación de mejores prácticas de seguridad informática. Guía para la implementación de mejores prácticas de seguridad informática. Es necesario que los usuarios incorporen buenas prácticas para proteger el entorno de información, y prevenir aún más la posibilidad

Más detalles

GLOSARIO DE TÉRMINOS

GLOSARIO DE TÉRMINOS GLOSARIO DE TÉRMINOS Glosario de términos GLOSARIO DE TÉRMINOS API (Aplication Program Interface): conjunto de rutinas o funciones que constituyen un interfaz o forma de diálogo entre las aplicaciones

Más detalles

Necesidades Tecnológicas para la implantación y desempeño del Teletrabajo

Necesidades Tecnológicas para la implantación y desempeño del Teletrabajo Necesidades Tecnológicas para la implantación y Experiencia piloto dirigida a la inserción y calidad de vida laboral de mujeres con discapacidad a través del uso de las TIC Necesidades Tecnológicas para

Más detalles

Por qué MobilityGuard OneGate?

Por qué MobilityGuard OneGate? Para Acceso de Cualquier Escenario Solo Una Solución Por qué MobilityGuard OneGate? Escenarios 1 Acceda desde cualquier lugar 2 Identifique sólidamente los usuarios 3 No más notas de recordatorio con ingreso

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Cómo funciona Solución mwatcher Let's connect

Cómo funciona Solución mwatcher Let's connect Cómo funciona Solución mwatcher Let's connect Introducción En este documento vamos a explicar cuáles son las problemáticas que nos encontramos a la hora de realizar un telemantenimiento o acceso remoto

Más detalles

Redes Privadas Virtuales (VPN)

Redes Privadas Virtuales (VPN) Redes Privadas Virtuales (VPN) Integrantes: - Diego Álvarez Delgado - Carolina Jorquera Cáceres - Gabriel Sepúlveda Jorquera - Camila Zamora Esquivel Fecha: 28 de Julio de 2014 Profesor: Agustín González

Más detalles

Encriptación: de lo básico a lo estratégico

Encriptación: de lo básico a lo estratégico Encriptación: de lo básico a lo estratégico Los datos siempre están en riesgo de perderse o de que sean robados, aparte de que nunca falta quien olvide la clave para acceder a ellos, por lo cual las compañías

Más detalles

Redes de comunicación

Redes de comunicación UNIVERSIDAD AMERICANA Redes de comunicación Unidad IV- Sistemas de Autenticación y firmas digitales Recopilación de teoría referente a la materia Ing. Luis Müller 2011 Esta es una recopilación de la teoría

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

NORMATIVA GLOSARIO DE TERMINOS

NORMATIVA GLOSARIO DE TERMINOS NORMATIVA El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD), obliga al responsable del fichero, y, en su caso, al encargado del

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA TEMA 3. REDES Y SEGURIDAD INFORMÁTICA REDES INFORMÁTICAS. 1. Qué ventajas tiene usar ordenadores en red, frente al trabajo aislado? 2. Explica la diferencia entre el área de alcance de una red LAN y una

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Unidad 3: El sistema operativo. Trabajo con conexión.

Unidad 3: El sistema operativo. Trabajo con conexión. Unidad 3: El sistema operativo. Trabajo con conexión. 1.- Red de ordenadores Vamos a describir que es una red informática o red de ordenadores. Una red informática es un sistema de interconexión entre

Más detalles

SEGURIDAD EN LA WEB.

SEGURIDAD EN LA WEB. SEGURIDAD EN LA WEB. - ELEMENTOS DE PROTECCIÓN: Firewall Elemento de protección que sirve para filtrar paquetes (entrada o salida) de un sistema conectado a una red, que puede ser Internet o una Intranet.

Más detalles

Como crear una red privada virtual (VPN) en Windows XP

Como crear una red privada virtual (VPN) en Windows XP Como crear una red privada virtual (VPN) en Windows XP Introducción Cada vez es más habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos

Más detalles

unidad seguridad informática contenidos Propiedad intelectual y legislación Seguridad y privacidad de la información

unidad seguridad informática contenidos Propiedad intelectual y legislación Seguridad y privacidad de la información unidad seguridad 11 informática contenidos Propiedad intelectual y legislación Seguridad y privacidad de la información Tecnologías de la Información y la Comunicación 303 Acerca de esta unidad La seguridad

Más detalles

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet GUÍA DE AMENAZAS Botnet Su accionar consiste en formar una red o grupo de computadoras zombis (infectados con malware), que son controlados por el propietario de los bots (atacante). Es decir, toman control

Más detalles

Muchas gracias por su asistencia. Conclusions firs. Certeza jurídca. Seguridad y privacidad. Optimización / Automatización de procesos

Muchas gracias por su asistencia. Conclusions firs. Certeza jurídca. Seguridad y privacidad. Optimización / Automatización de procesos 1 Muchas gracias por su asistencia Conclusions firs Certeza jurídca Seguridad y privacidad Optimización / Automatización de procesos Ahorro de costes 2 Camerfirma Camerfirma nace como proyecto del Consejo

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño SEGURIDAD INFORMATICA Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño DEFINICIONES DE HACKER: Un hacker (del inglés hack, recortar), también conocidos como sombreros blancos es el neologismo

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

Inalámbrico Bluetooth,un tipo de conexión de baja potencia y escaso alcance (un máximo de 25 metros en el mejor de los casos)

Inalámbrico Bluetooth,un tipo de conexión de baja potencia y escaso alcance (un máximo de 25 metros en el mejor de los casos) Unidad 3: REDES LOCALES E INTERNET. Redes de área local Una red de ordenadores es un conjunto de sistemas informáticos conectados entre sí por algún medio,que puede ser un cable o a través de ondas, de

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Alcance y descripción del servicio ANTIVIRUS IPLAN

Alcance y descripción del servicio ANTIVIRUS IPLAN Alcance y descripción del servicio ANTIVIRUS IPLAN 1. Introducción. El servicio de Antivirus IPLAN ofrece una amplia cobertura contra distintos tipos de detecciones, permitiendo de forma cotidiana, efectiva

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

Seguridad desde el primer click. Seguridad desde el primer click

Seguridad desde el primer click. Seguridad desde el primer click Las nuevas posibilidades que proporciona la acelerada evolución de Internet resultan evidentes. Posibilidades que nos permiten en BBVA net cash completar, día a día, nuestra ya nutrida y flexible gama

Más detalles

Guía de Seguridad en Redes Inalámbricas

Guía de Seguridad en Redes Inalámbricas Guía de Seguridad en Redes Inalámbricas INTRODUCCIÓN Las conexiones inalámbricas se han popularizado fuertemente los últimos años, tanto en el ámbito hogareño como en el corporativo y en los espacios públicos.

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Aviso de Privacidad de Extend Solutions, S. A. De C. V.

Aviso de Privacidad de Extend Solutions, S. A. De C. V. Aviso de Privacidad de Extend Solutions, S. A. De C. V. Extend Solutions, S. A. de C. V., con domicilio en Paseo de la Reforma 107, Interior 102 en México, Distrito Federal, C. P. 06030 es el responsable

Más detalles

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server Guía de inicio rápido Microsoft Windows 8 / 7 / Vista / XP / Home Server ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor de

Más detalles

Circular de Tecnología Pautas para el uso de Certificados Electrónicos

Circular de Tecnología Pautas para el uso de Certificados Electrónicos ASIT 20091112 CT Pautas para el uso de Certificados Electrónicos v1 20/11/2009 Documento de Circular de Tecnología Pautas para el uso de Certificados Electrónicos Versión 01 Noviembre 2009 ARCHIVO: ASIT

Más detalles

Tema 17. Algunos aspectos de seguridad informática

Tema 17. Algunos aspectos de seguridad informática Tema 17. Algunos aspectos de seguridad informática Virus y otro malware Cortafuegos Criptografía Recomendaciones de seguridad generales Virus y otro malware Malware Virus Troyanos Keyloggers Programas

Más detalles

Seguridad en Internet

Seguridad en Internet Seguridad en Internet. Resumen Cuando se realizan pagos en Internet y acceso a sitios Web que requieren certificado, intervienen dos protocolos seguros SSL y SET, ofreciendo confidencialidad, identificación,

Más detalles

Seguridad y eficacia

Seguridad y eficacia Seguridad y eficacia 1 EQUIPO DE KSI * Quince años experiencia en Formación en Sistemas, Desarrollo, Auditorías y Consultorías de Seguridad * Expertos en Sistemas de Gestión de Seguridad de Información

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

RISK, SECURITY, AND DISASTER RECOVERY

RISK, SECURITY, AND DISASTER RECOVERY RISK, SECURITY, AND DISASTER RECOVERY Kenia Navarro Ríos y Michael Velazquez Universidad Interamericana de Puerto Rico Recinto de Fajardo Departamento de Ciencias y Tecnología CSIR4300 Administración de

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Cinco consejos para reducir el riesgo provocado por las amenazas web modernas

Cinco consejos para reducir el riesgo provocado por las amenazas web modernas Cinco consejos para reducir el riesgo provocado por las amenazas web modernas La educación y concienciación de los usuarios, medidas preventivas y una solución de seguridad en Internet moderna son componentes

Más detalles

NAVEGUE SEGURO EN INTERNET

NAVEGUE SEGURO EN INTERNET NAVEGUE SEGURO EN INTERNET Programas maliciosos Hasta hace unos años, los virus eran considerados la principal amenaza para los equipos informáticos. En la actualidad existen otras amenazas derivadas de

Más detalles

LA RED INTERNET Conceptos básicos.

LA RED INTERNET Conceptos básicos. LA RED INTERNET Conceptos básicos. 1 QUE ES INTERNET? Interconexión global de redes de ordenadores. Independiente de la tecnología (independencia de los sistemas operativos, del tipo de máquina y de red).

Más detalles

5.1. Qué es Internet? controla todo el sistema, pero está conectado de tal manera que hace

5.1. Qué es Internet? controla todo el sistema, pero está conectado de tal manera que hace 5. Internet 5.1. Qué es Internet? Internet es una red mundial de equipos que se comunican usando un lenguaje común. Es similar al sistema telefónico internacional: nadie posee ni controla todo el sistema,

Más detalles

Biometría en la Banca on line Gestión de Identidad en la Banca on line

Biometría en la Banca on line Gestión de Identidad en la Banca on line Biometría en la Banca on line Gestión de Identidad en la Banca on line Jorge Urios Rodríguez Director General VaniOs Índice 1. Introducción 2. Tipos de Biometría 3. Sistemas de Biometría en Sucursales:

Más detalles

Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD

Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD SEGURIDAD INFORMATICA Es el conjunto de acciones, herramientas y dispositivos cuyo objetivo es dotar a un sistema informático de integridad,

Más detalles

COMERCIO ELECTRÓNICO 4 MÓDULOS. 65 Horas

COMERCIO ELECTRÓNICO 4 MÓDULOS. 65 Horas COMERCIO ELECTRÓNICO 4 MÓDULOS. 65 Horas INTERNET COMO CANAL DE COMERCIALIZACIÓN Y DE RELACIÓN CON LOS CLIENTES REF: HORAS: K053 15 horas OBJETIVOS Conocer los diferentes modelos de venta y de negocio

Más detalles

Prólogo... 3 capítulo 1 Ventajas y riesgos de la contratación electrónica... 4

Prólogo... 3 capítulo 1 Ventajas y riesgos de la contratación electrónica... 4 1 Índice Prólogo... 3 capítulo 1 Ventajas y riesgos de la contratación electrónica... 4 capítulo 2 Marco legal... 5 capítulo 3 Contratación Telemática... 6 3.1 Concepto del contrato telemático... 6 3.2

Más detalles

Lección 17: Datos personales. Guía de seguridad para usuarios

Lección 17: Datos personales. Guía de seguridad para usuarios Lección 17: Datos personales. Guía de seguridad para usuarios Dña. María Goretti López Deltell goretti.lopez@madrid.org Agencia de Protección de Datos de la Comunidad de Madrid Algunos casos 2 El factor

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Plan de Trabajo en Verano de Informática de 4º ESO. Departamento de Tecnología, curso 2012-2013

Plan de Trabajo en Verano de Informática de 4º ESO. Departamento de Tecnología, curso 2012-2013 Plan de Trabajo en Verano de Informática de 4º ESO Departamento de Tecnología, curso 2012-2013 Este dossier contiene los siguientes documentos de tu interés: Batería de actividades por unidad didáctica

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles