Seguridad de los sistemas de información
© de esta edición, Fundació Universitat Oberta de Catalunya (FUOC)
Av. Tibidabo, 39-43, 08035 Barcelona
Autoría: Jaime Jaume Mayol, Antonio Tudurí Vila
Producción: FUOC
Todos los derechos reservados

Índice
- Introducción
- Objetivos
- Mapa conceptual
- Plan de trabajo
- Evaluación inicial
- 1.Seguridad informática
- 1.1.Seguridad informática
- 1.2.Niveles de seguridad
- 1.3.Seguridad física
- 1.4.Seguridad lógica
- 2.Seguridad en el sector turístico
- 3.Protocolos de seguridad
- Resumen
- Ejercicios
- Caso práctico
- Ejercicios de autoevaluación
Introducción
Objetivos
-
Exponer los conceptos de seguridad lógica y física.
-
Conocer la importancia de la seguridad de datos en el sector turístico.
-
Identificar las principales amenazas de seguridad en el sector turístico.
-
Definir el procedimiento que hay que seguir para crear un plan de seguridad.
Mapa conceptual

Plan de trabajo
C* |
Objetivos |
Contenidos |
Material |
Ejercicios |
Tiempo |
---|---|---|---|---|---|
2 |
Exponer los conceptos de seguridad lógica y física. |
Identificación de amenazas y procesos imprescindibles que hay que desarrollar en la empresa para dotarla de seguridad. |
1. Seguridad informática |
1 |
3 h |
2 |
Conocer la importancia de la seguridad de datos en el sector turístico. Identificar las principales amenazas de seguridad en el sector turístico. |
Identificar problemas de seguridad en el proceso de comercialización turística online. |
2. Seguridad en el sector turístico |
2 |
4 h |
2 |
Definir el procedimiento que hay que seguir para crear un plan de seguridad. |
Determinación de un plan de seguridad informática. |
3. Protocolos de seguridad |
3 |
3 h |
Total |
10 horas |
||||
Evaluación |
|||||
Evaluación inicial: 1-10 Caso práctico: 1 Ejercicios de autoevaluación: 1-10 |
|||||
*C: Competencias que promueve la asignatura |
Evaluación inicial
- 1. La diferencia entre seguridad lógica y física es que:
- a)
- b)
- c)
- d)
- 2. En una plataforma de pago online:
- a)
- b)
- c)
- d)
- 3. ¿Cuál es el sistema de copia de seguridad más rápido a la hora de realizar la copia
pero el más lento en su recuperación?
- a)
- b)
- c)
- d)
- 4. ¿Qué es un armario ignífugo?
- a)
- b)
- c)
- d)
- 5. ¿Qué es el PNR?
- a)
- b)
- c)
- d)
- 6. ¿En qué circunstancias pueden aparecer problemas de seguridad informática?
- a)
- b)
- c)
- d)
- 7. ¿Qué amenazas de seguridad no se vinculan con la seguridad lógica?
- a)
- b)
- c)
- d)
- 8. ¿Por qué el PNR es un dato especialmente sensible en cuanto a seguridad?
- a)
- b)
- c)
- d)
- 9. ¿Cuándo se crea el PNR en la realización de la reserva a través del GDS?
- a)
- b)
- c)
- d)
- 10. ¿Qué es el RLOC?
- a)
- b)
- c)
- d)
1.Seguridad informática
1.1.Seguridad informática
1.2.Niveles de seguridad
-
Se produce un almacenamiento de datos cuando estos son almacenados en dispositivos de memoria, como discos duros u otros dispositivos externos.
-
Se produce un intercambio de datos e información cuando se producen transmisiones de estos por medio de comunicaciones electrónicas, o durante el transporte físico de dispositivos de memoria.
-
Definir el nivel de seguridad requerido, dado que se debe alcanzar el nivel de seguridad aceptable y su coste.
-
Definir las medidas de seguridad e implantación de los mecanismos de seguridad que permiten alcanzar el nivel de seguridad determinado en la fase anterior.
1.3.Seguridad física
-
Desde el punto de vista de la preservación de los datos ante situaciones de averías físicas o de deterioro de los soportes de memoria.
-
Desde el punto de vista de la preservación de los datos ante desastres naturales.
1.4.Seguridad lógica
-
Destrucción voluntaria o involuntaria de información: las personas que operan con ordenadores pueden cometer errores, como eliminar ficheros o datos, de manera involuntaria o voluntaria.
-
Revelación de información a personas no autorizadas: en determinadas situaciones, puede ser más importante evitar que unos datos sean revelados a determinadas personas, que la misma preservación física de los datos.
-
Sustracción de información de soportes físicos: se refiere a acciones encaminadas a la obtención de datos no autorizadas o no permitidas. Estas amenazas se relacionan con accesos no autorizados a bases de datos, tanto si estos accesos se realizan dentro de la misma organización física como si se realizan utilizando las redes de comunicación.
-
Acceso no autorizado a datos que se intercambian a través de algún procedimiento de transferencia de datos, normalmente una transferencia electrónica.
-
Problemas de destrucción de información causados por virus informáticos o errores de las aplicaciones informáticas.
-
Preservar el rendimiento del sistema: además de las anteriores amenazas, la seguridad lógica también se relaciona con la capacidad o potencia de un sistema informático. La capacidad o potencia se define a partir de las cargas de trabajo a las que se va a someter y en función del rendimiento que se espera del sistema.

-
Identificar los datos de los que se dispone.
-
Determinar las acciones que se pueden realizar con los datos.
-
Identificar los usuarios, o grupos de usuarios, que poseen acceso al almacén de datos.
-
Especificar las acciones que cada usuario o grupo de usuarios pueden realizar sobre cada uno de los datos.
Datos |
Acciones |
|||
---|---|---|---|---|
Añadir |
Modificar |
Eliminar |
Consultar |
|
Dato 1 |
Usuarios autorizados para añadir el dato 1 |
... |
|
|
Dato 2 |
... |
|
|
|
Dato 3 |
|
|
|
|
2.Seguridad en el sector turístico
2.1.Seguridad en la comercialización turística

-
En las comunicaciones que se realizan a través de las redes de comunicaciones, como en el intercambio de datos entre usuario-cliente y los agentes de intermediación o el sitio web del proveedor, así como en el intercambio de mensajes que circulan entre el GDS del agente de comercialización y el CRS del proveedor. Este tipo de problemas están relacionados con la seguridad lógica.
-
El sistema está expuesto a ataques directos a través del servidor web donde están almacenadas las páginas web del sitio web, así como el CRS del proveedor. También en este caso se trata de un aspecto relacionado con la seguridad lógica.
-
Considerando la seguridad física, se aprecia que la base de datos debe preservarse ante problemas de pérdida de datos por avería o mal funcionamiento de los dispositivos de almacenamiento de datos.
-
Otro punto crítico de seguridad aparece cuando el personal que posee acceso a los datos revela, de manera no autorizada, datos contenidos en la base de datos. Este problema de revelación puede ir acompañado de un acceso a los datos por parte del personal que no está autorizado al mismo.
-
Adicionalmente aparecen problemas de suplantaciones de identidad o de fraudes informáticos, especialmente en aquellas operaciones relacionadas con transacciones económicas.
2.2.Base de datos en turismo

-
Personales relacionados con la identificación del cliente (como el nombre, los apellidos, la nacionalidad, la fecha de nacimiento, el domicilio, etc.), relacionados con aficiones o inclinaciones del cliente (como la religión, vinculación política, etc.) o relacionados con medios de pago (como el número de tarjeta).
-
Estratégicos del negocio e información financiera, cuya pérdida o divulgación podría provocar importantes pérdidas a la institución.
-
De los trabajadores o proveedores de la empresa.
2.3.Registro del nombre del pasajero

-
El usuario solicita al agente de intermediación, o bien directamente al proveedor de productos y servicios turísticos, la realización de una reserva.
-
Dicha petición se convierte en una transacción de bases de datos, con una respuesta del sistema de bases de datos que consiste en la asignación de un PNR.
-
Dicho PNR se comunica al usuario. Dicho localizador permite al pasajero realizar cambios en la reserva o elementos de la reserva, que solo se pueden realizar en las plataformas en las que se realizó la reserva.

2.4.Medios de pago
-
Plataformas de pago electrónico, que se encargan de hacer de mediadores entre proveedor y cliente. Dichas plataformas conocen los datos de cargo del proveedor (número de cuenta) y los datos de cargo (número de cuenta y datos personales) del comprador. La plataforma de pago electrónico se pone en contacto con la entidad bancaria para ordenar la transferencia desde la cuenta del comprador a la cuenta de la plataforma, y de esta a la del vendedor.

-
Pasarelas de pago, que consisten en pagos online a partir de la introducción del número de tarjeta. En estos casos, es el CRS del proveedor el que, con la información de la tarjeta, solicita directamente la transferencia de dinero desde la cuenta vinculada a la tarjeta hacia la cuenta del proveedor.
-
Contrarreembolso, que permite el cobro de una venta online en el momento de su entrega. Este procedimiento es un método seguro cuando se trata de consumidores con poca confianza en el comercio electrónico. Sin embargo, en el sector del turismo normalmente no es posible, dadas las características de intangibilidad que son inherentes a los productos y servicios turísticos.
-
Transferencias bancarias, en las que el cliente realiza una transferencia desde su cuenta a la cuenta de abono del proveedor o vendedor. Es un sistema que no requiere de desarrollos técnicos específicos en el CRS, pero provoca un retraso en el proceso de compra, puesto que el proveedor no realiza el envío hasta la recepción del importe transferido.
-
Aplicaciones móviles de pago online, que son aplicaciones móviles que desarrolla el proveedor y que el comprador se puede instalar en el dispositivo móvil. Dichas aplicaciones permiten la transferencia directa entre la cuenta del cliente y la del vendedor.
-
Pagos utilizando moneda virtual, en los que el cliente debe poseer una determinada cantidad de monedas virtuales. Dicho sistema posee una alta seguridad, pero existe una limitación en la cantidad de monedas virtuales existentes.
3.Protocolos de seguridad
3.1.Plan de seguridad
-
La lista de recursos o los datos presentes en el sistema y sus niveles de seguridad requeridos.
-
La lista de usuarios del sistema de información y los privilegios de acceso a los datos.
-
Identificar elementos para proteger.
-
Evaluar los riesgos que se derivan de la falta seguridad.
-
Determinar las amenazas que se pueden producir y que pueden atentar a la seguridad de los datos.
-
Definir los protocolos de actuación para evitar que las amenazas se puedan materializar en actos reales.
-
Implementar el plan de seguridad: comunicar el plan al personal, crear políticas de seguridad, formar a los empleados y establecer un calendario para el plan de seguridad.
-
Una vez puesto en marcha el plan de seguridad, realizar un mantenimiento y una revisión del mismo. En este sentido es necesario realizar simulacros de avería para poder asegurar el funcionamiento del plan de seguridad en caso de pérdidas de datos.
3.2.Plan de seguridad lógica
-
Establecer colectivos de usuarios y asignar los derechos de uso de los recursos a los colectivos en vez de a los usuarios. Bastará asignar derechos únicamente al grupo para que sus miembros adquieran dichos privilegios.
-
Asignar claves de acceso personalizadas a cada trabajador. De este modo, y exigiendo responsabilidad sobre su uso, se puede controlar la utilización de los recursos.
-
Conocer bien las habilidades de nuestros trabajadores. De este modo, se pueden asignar responsabilidades concretas de operación del sistema a las personas que estén capacitadas para ello.
-
Proteger todo el software de la acción de aplicaciones destructivas, conocidas generalmente como malware. Un malware es un programa informático con capacidad para replicarse en otros programas más grandes, que intenta mantenerse oculto en el ordenador hasta el momento de darse a conocer, momento en el que puede provocar daños al sistema o a la información almacenada en él o, como mínimo, molestias al usuario del ordenador. Como tipo de malware destacan los virus informáticos y los caballos de Troya.
3.3.Plan de seguridad física
-
Copia de seguridad normal: consiste en copiar todos los ficheros almacenados en el ordenador. Es útil para agilizar el posterior proceso de recuperación. Sin embargo, es el sistema más lento, ya que desperdicia mucha computación porque la mayoría de los archivos copiados ya fueron registrados en la copia anterior y no han sido modificados.
-
Copia de seguridad diferencial: consiste en copiar solo los datos que han sido modificados desde la última copia realizada con anterioridad. Las recuperaciones de datos con este sistema serán las más lentas porque se necesitará la última copia normal y todas las diferenciales desde la última copia normal.
-
Copia de seguridad incremental: es un sistema que combina las copias de seguridad normales con otras diferenciales. El procedimiento consiste en copiar solo los archivos modificados desde la última copia normal hecha con anterioridad. De manera periódica se realizan copias normales.
-
La capacidad de almacenamiento, que debe ser suficiente para almacenar todos los datos de la copia de seguridad.
-
La rapidez de acceso a los datos para almacenar o recuperar contenidos del dispositivo.
3.4.Seguridad en bases de datos
-
Lógico, cuando se intentan proteger los datos ante accesos no autorizados de la información. Adicionalmente, en caso de accesos no autorizados, se puede alcanzar un nivel superior de seguridad si los datos se someten a algún tipo de encriptación.
-
Físico, cuando se tratan de proteger los soportes en los que se almacenan los datos de la base de datos.
-
La confidencialidad de datos que se encuentran en tránsito entre la base de datos y la persona que accede a los mismos.
-
La integridad de la base de datos, que intenta garantizar que los datos que están contenidos en la base de datos sean correctos.
-
El control de acceso a los datos, por medio de protocolos de autenticación, políticas de seguridad internas y un sistema de control de acceso de usuario, con una correcta definición de permisos.
-
La realización de las copias de seguridad oportunas para asegurar que los datos quedan preservados ante averías de los dispositivos de almacenamiento de datos.
Resumen
Ejercicios
Caso práctico
-
Describas brevemente el establecimiento, a efectos de dimensionar el volumen de negocio.
-
Describas los datos personales que están contenidos en la base de datos de reservas.
-
Identifiques los puntos críticos de seguridad y, para cada uno de ellos, describe la situación que se deriva de un malfuncionamiento del sistema de seguridad.
Ejercicios de autoevaluación
- 1. ¿A qué usuario será menos peligroso y arriesgado dar más privilegios de acceso de
los que necesita para desarrollar su trabajo?
- a)
- b)
- c)
- d)
- 2. ¿En qué momento de la realización de la reserva a través de GDS se crea el PNR?
- a)
- b)
- c)
- d)
- 3. ¿Cuántos recursos deben protegerse en la definición de un plan de seguridad?
- a)
- b)
- c)
- d)
- 4. En las plataformas de pago online:
- a)
- b)
- c)
- d)
- 5. ¿Cuál de las siguientes situaciones se relaciona con la seguridad lógica?
- a)
- b)
- c)
- d)
- 6. ¿Cuáles son las principales diferencias entre la seguridad lógica y la física?
- a)
- b)
- c)
- d)
- 7. Un armario ignífugo:
- a)
- b)
- c)
- d)
- 8. ¿Qué permite controlar el PNR?
- a)
- b)
- c)
- d)
- 9. El concepto de RLOC se relaciona con:
- a)
- b)
- c)
- d)
- 10. ¿Cuál de los siguientes sistemas es el más lento en la recuperación?
- a)
- b)
- c)
- d)