Seguridad de la Información y Legislación
Seguridad Informática
La seguridad informática protege los sistemas de información frente a amenazas internas y externas, garantizando tres pilares fundamentales:
Confidencialidad: Garantiza que la información solo esté accesible para personas autorizadas. Ejemplo: El cifrado de datos en un servidor.
Integridad: Asegura que los datos no sean alterados de forma no autorizada. Ejemplo: Verificación mediante hashes para comprobar la integridad de un archivo.
Disponibilidad: Los sistemas deben estar accesibles y operativos cuando se necesiten. Ejemplo: Implementar copias de seguridad regulares y redundancia en servidores.
Amenazas Comunes
Internas: Acciones de empleados malintencionados, errores humanos o fallos en los procesos.
Externas: Malware, ataques de phishing, ransomware, fuerza bruta, entre otros.
Medidas de Prevención
Sistemas de detección de intrusos (IDS/IPS) para monitorear actividades sospechosas.
Firewall avanzado: Controla el tráfico entrante y saliente en la red.
Antivirus y antimalware: Protegen contra software malicioso.
Formación continua: Educar a los empleados sobre ciberseguridad.
Legislación Clave
Ley Orgánica 3/2018 (LOPDGDD): Regula el tratamiento de datos personales en España, otorgando derechos como acceso, rectificación, supresión, oposición y portabilidad.
RGPD: Reglamento europeo que refuerza los derechos sobre datos personales, imponiendo sanciones por incumplimientos.
Ley 34/2002 (LSSI-CE): Regula el comercio electrónico, el uso de cookies y la protección del consumidor en entornos digitales.
ISO 27001: Proporciona directrices para implementar un sistema de gestión de la seguridad de la información (SGSI).
Seguridad Física
Amenazas Físicas
Naturales: Fenómenos como terremotos, inundaciones, incendios y tormentas eléctricas que pueden dañar instalaciones y datos.
Humanas: Robos, vandalismo, sabotajes, espionaje industrial o errores operativos, como apagar accidentalmente un servidor crítico.
Medidas de Seguridad
Control de acceso físico: Uso de credenciales biométricas (huellas, reconocimiento facial), códigos de acceso y tarjetas magnéticas.
Videovigilancia (CCTV): Supervisión constante de áreas críticas para disuadir amenazas.
Climatización: Mantener una temperatura ideal (21 ± 1 °C) y una humedad relativa del 50 ± 5% en los CPD para evitar fallos en los equipos.
Protección contra incendios: Instalación de detectores de humo y sistemas automáticos de extinción con gases inertes.
Sistemas eléctricos redundantes: Uso de SAIs y generadores para evitar interrupciones en la energía eléctrica.
Diseño del CPD:
Suelos elevados para proteger los cables y equipos contra inundaciones.
Áreas compartimentadas para limitar el acceso a zonas críticas según roles.
Sensores de monitoreo ambiental (temperatura, humedad, presencia de líquidos).
Gestión de Almacenamiento
Tipos de Almacenamiento
Directo (DAS): Unidades conectadas directamente al equipo. Ventajas: simplicidad y bajo coste. Desventajas: limitada escalabilidad.
En red (NAS/SAN):
NAS: Ofrece almacenamiento centralizado accesible en red para múltiples usuarios. Ejemplo: Uso en oficinas para compartir documentos.
SAN: Redes de alta velocidad diseñadas para grandes volúmenes de datos. Ideal para empresas con necesidades de alto rendimiento.
En la nube: Soluciones como AWS, Google Drive y OneDrive permiten el acceso remoto y colaboración en tiempo real.
Portátil: Discos externos, SSD portátiles y pendrives.
Sistemas de Archivos
NTFS: Eficiente en Windows, con soporte para permisos avanzados y cifrado.
ext4: Sistema de archivos por defecto en Linux, diseñado para estabilidad y rendimiento.
FAT32/exFAT: Amplia compatibilidad, aunque con limitaciones como un tamaño máximo de archivo de 4 GB en FAT32.
APFS: Sistema exclusivo de Apple, optimizado para discos SSD.
RAID (Redundant Array of Independent Disks)
RAID 0: Divide los datos entre varios discos para mejorar la velocidad. Sin redundancia.
RAID 1: Duplica los datos en dos discos, proporcionando alta redundancia.
RAID 5: Combina rendimiento y tolerancia a fallos mediante paridad distribuida.
RAID 10: Mezcla las ventajas de RAID 1 y RAID 0.
Copias de Seguridad
Tipos de Copias
Completa: Copia todos los datos seleccionados. Consume más tiempo y espacio, pero facilita la restauración completa.
Incremental: Solo guarda los cambios realizados desde la última copia. Ahorra espacio, pero la restauración requiere varias copias anteriores.
Diferencial: Copia todos los cambios realizados desde la última copia completa, equilibrando tiempo y espacio.
En espejo: Réplica exacta de los datos en tiempo real, común en configuraciones RAID 1.
Estrategia 3-2-1
Tres copias: Original y dos copias de respaldo.
Dos soportes diferentes: Por ejemplo, un disco duro y almacenamiento en la nube.
Una copia externa: Almacenada en una ubicación distinta para protegerse contra desastres.
Buenas Prácticas
Cifrado: Asegurar que las copias no sean accesibles por usuarios no autorizados.
Pruebas periódicas de restauración: Verificar que las copias puedan recuperarse correctamente.
Gestión del ciclo de vida: Monitorear la durabilidad de los soportes de almacenamiento.
Cookies
Definición
Las cookies son pequeños archivos de texto creados por sitios web para almacenar información en el dispositivo del usuario. Su propósito principal es personalizar la experiencia de navegación y recordar preferencias.
Tipos de Cookies
De sesión: Temporales, se eliminan al cerrar el navegador.
Persistentes: Permanecen almacenadas hasta su fecha de expiración o eliminación manual.
De origen: Generadas por el sitio web visitado directamente.
De terceros: Usadas por servicios externos, generalmente con fines publicitarios o analíticos.
Regulación y Gestión
RGPD: Exige consentimiento explícito para el uso de cookies no esenciales.
Configuraciones del navegador: Los usuarios pueden gestionar, bloquear o eliminar cookies según sus preferencias.