introduccion y conceptos generales de seguridad informatica
DESCRIPTION
Seguridad InformaticaTRANSCRIPT
-
IntroduccinyConceptosGeneralesdelaSeguridadInformtica
http://recursostic.educacion.es/observatorio/web/eu/software/softwaregeneral/1040introduccionalaseguridadinformatica?showall=1
CuandosehabladeseguridadenelmbitodelasTICamenudoseconfundenlosconceptosdeseguridad de la informacin y seguridad informtica. Y siendo ambos realmente importantes ysimilares,haydiferenciasentreellos.
En este artculo hablaremos sobre los conceptos de seguridad de la informacin y seguridadinformticayexplicaremoslospilaressobrelosquesebasalaseguridaddelainformacin.
Tambinrepasaremosloselementosvulnerablesdeunsistemainformtico,elconceptodeamenaza,fuentesdeamenazasytipos,ascomolaspolticasdeseguridadqueadoptanlasorganizacionesparaasegurarsussistemasominimizarelimpactoquestaspudieranocasionar.
Seguridaddelainformacin/SeguridadinformticaExistenmuchasdefinicionesdeltrminoseguridad.Simplificando,yengeneral,podemosdefinir laseguridadcomo:"Caractersticaqueindicaqueunsistemaestalibredetodopeligro,daooriesgo."(Villaln)
Cuandohablamosde seguridaddelainformacin estamosindicandoquedichainformacintieneunarelevanciaespecialenuncontextodeterminadoyque,portanto,hayqueproteger.
La Seguridad de la Informacin se puede definir como conjunto de medidas tcnicas,organizativasylegalesquepermitenalaorganizacinasegurarlaconfidencialidad,integridadydisponibilidaddesusistemadeinformacin.
Hastalaaparicinydifusindelusodelossistemasinformticos,todalainformacindeintersdeunaorganizacin se guardaba en papel y se almacenaba en grandes cantidades de abultadosarchivadores.Datosdelosclientesoproveedoresdelaorganizacin,odelosempleadosquedabanregistradosenpapel,contodoslosproblemasqueluegoacarreabasualmacenaje,transporte,accesoyprocesado.
Lossistemasinformticospermitenladigitalizacindetodoestevolumendeinformacinreduciendoelespacioocupado,pero,sobretodo,facilitandosuanlisisyprocesado.Seganaen'espacio',acceso,rapidezenelprocesadodedichainformacinymejorasenlapresentacindedichainformacin.
Peroaparecenotrosproblemasligadosaesasfacilidades.Siesmsfciltransportarlainformacintambinhaymsposibilidadesdequedesaparezca'porelcamino'.Siesmsfcilaccederaellatambinesmsfcilmodificarsucontenido,etc.
Desdelaaparicindelosgrandessistemasaisladoshastanuestrosdas,enlosqueeltrabajoenredeslohabitual,losproblemasderivadosdelaseguridaddelainformacinhanidotambincambiando,evolucionando, pero estn ah y las soluciones han tenido que ir adaptndose a los nuevosrequerimientostcnicos.Aumentalasofisticacinenelataqueyelloaumentalacomplejidaddelasolucin,perolaesenciaeslamisma.
Existentambindiferentesdefinicionesdeltrmino SeguridadInformtica.DeellasnosquedamosconladefinicinofrecidaporelestndarparalaseguridaddelainformacinISO/IEC27001,quefueaprobadoypublicadoenoctubrede2005porlaInternationalOrganizationforStandardization(ISO)yporlacomisinInternationalElectrotechnicalCommission(IEC).
Laseguridad informticaconsisteen la implantacindeunconjuntodemedidas tcnicasdestinadasapreservarlaconfidencialidad,laintegridadyladisponibilidaddelainformacin,pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la
Pg.1de18
-
fiabilidadyelnorepudio.
Comovemoseltrminoseguridaddelainformacinesmasamplioyaqueenglobaotrosaspectosrelacionadosconlaseguridadmasalldelospuramentetecnolgicos.
Seguridaddelainformacin:modeloPDCADentrodelaorganizacineltemadelaseguridaddelainformacinesuncaptulomuyimportantequerequierededicarletiempoyrecursos.LaorganizacindebeplantearseunSistemadeGestindelaSeguridaddelaInformacin(SGSI).
ElobjetivodeunSGSIesprotegerlainformacinyparaelloloprimeroquedebehaceresidentificarlosactivosdeinformacinquedebenserprotegidosyenqugrado.
Luego debe aplicarse el plan PDCA (PLAN DO CHECK ACT), es decir Planificar, Hacer,Verificar,Actuaryvolverarepetirelciclo.
Seentiendelaseguridadcomounprocesoquenuncaterminayaquelosriesgosnuncaseeliminan,pero sepuedengestionar. De los riesgossedesprendeque los problemasdeseguridadnosonnicamentedenaturalezatecnolgica,yporesemotivonuncaseeliminanensutotalidad.
UnSGSIsiemprecumplecuatronivelesrepetitivosquecomienzanporPlanificaryterminanenActuar,consiguiendoasmejorarlaseguridad.
PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las polticas deseguridad,sehaceelanlisisderiesgos,sehacelaseleccindecontrolesyelestadodeaplicabilidad
HACER (Do):consisteenimplementarelsistemadegestindeseguridaddelainformacin,implementarelplanderiesgoseimplementarloscontroles.
VERIFICAR(Check):consisteenmonitorearlasactividadesyhacerauditorasinternas.
ACTUAR(Act):consisteenejecutartareasdemantenimiento,propuestasdemejora,accionespreventivasyaccionescorrectivas.
BasesdelaSeguridadInformticaFiabilidad
Existeunafrasequesehahechofamosadentrodelmundodelaseguridad.EugeneSpafford,profesordecienciasinformticasenlaUniversidadPurdue(Indiana,EEUU)yexpertoenseguridaddedatos,dijoqueelnicosistemaseguroesaquelqueestapagadoydesconectado,enterradoenunrefugio
Pg.2de18
-
de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bienarmados.Anas,yonoapostaramividaporl.
Hablardeseguridadinformticaentrminosabsolutosesimposibleyporesemotivosehablamasbiendefiabilidaddelsistema,que,enrealidadesunarelajacindelprimertrmino.
Definimos la Fiabilidad como la probabilidaddequeunsistemasecomporte tal y comoseesperadel.
Engeneral,unsistemaserseguroofiablesipodemosgarantizartresaspectos:
Confidencialidad:accesoalainformacinsolomedianteautorizacinydeformacontrolada.
Integridad:modificacindelainformacinsolomedianteautorizacin.
Disponibilidad:lainformacindelsistemadebepermaneceraccesiblemedianteautorizacin.
ExisteotrapropiedaddelossistemasqueeslaConfiabilidad,entendidacomoniveldecalidaddelservicioqueseofrece. Peroestapropiedad,quehacereferenciaa la disponibilidad, estaraalmismonivelquelaseguridad.EnnuestrocasomantenemoslaDisponibilidadcomounaspectodelaseguridad.
Confidencialidad
EngeneraleltrminoconfidencialhacereferenciaaQuesehaceosediceenconfianzaoconseguridadrecprocaentredosomspersonas.(http://buscon.rae.es)
Entrminosdeseguridaddelainformacin,laconfidencialidadhacereferenciaalanecesidaddeocultaromantenersecretosobredeterminadainformacinorecursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de lainformacin.
Engeneral,cualquierempresapblicaoprivadaydecualquiermbitodeactuacinrequierequeciertainformacinnoseaaccedidapordiferentesmotivos.Unodelosejemplosmastpicoseseldelejrcitodeunpas.Adems,essabidoqueloslogrosmasimportantesenmateriadeseguridadsiemprevanligadosatemasestratgicosmilitares.
Porotraparte, determinadasempresasamenudodesarrollandiseosquedebenprotegerdesuscompetidores.Lasostenibilidaddelaempresaascomosuposicionamientoenelmercadopuedendependerdeformadirectadelaimplementacindeestosdiseosy,poresemotivo,debenprotegerlosmediantemecanismosdecontroldeaccesoqueasegurenlaconfidencialidaddeesasinformaciones.
UnejemplotpicodemecanismoquegaranticelaconfidencialidadeslaCriptografa,cuyoobjetivoes
Pg.3de18
-
cifraroencriptarlosdatosparaqueresultenincomprensiblesaaquellosusuariosquenodisponendelospermisossuficientes.
Pero,inclusoenestacircunstancia,existeundatosensiblequehayqueprotegeryesla clave deencriptacin.Estaclaveesnecesariaparaqueelusuarioadecuadopuedadescifrarlainformacinrecibidayenfuncindeltipodemecanismodeencriptacinutilizado,laclavepuede/debeviajarporlared,pudiendosercapturadamedianteherramientasdiseadasparaello.Siseproduceestasituacin,laconfidencialidaddelaoperacinrealizada(seabancaria,administrativaodecualquiertipo)quedacomprometida.
Integridad
Engeneral, el trminointegridadhacereferenciaaunacualidaddentegro e indica"Quenocarecedeningunadesuspartes."yrelativoapersonas"Recta,proba,intachable.".
En trminos de seguridad de la informacin, la integridad hace referencia a la fidelidad de lainformacin o recursos, y normalmente se expresa en lo referente a prevenir el cambioimpropioodesautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de lainformacin.
Laintegridadhacereferenciaa:
laintegridaddelosdatos(elvolumendelainformacin)
laintegridaddelorigen(lafuentedelosdatos,llamadaautenticacin)
Es importante hacer hincapi en la integridad del origen, ya que puede afectar a su exactitud,credibilidadyconfianzaquelaspersonasponenenlainformacin.
Amenudoocurrequealhablardeintegridaddelainformacinnosedaenestosdosaspectos.
Porejemplo,cuandounperidicodifundeunainformacincuyafuentenoescorrecta,podemosdecirque se mantiene la integridadde la informacinya que se difunde por medio impreso, pero sinembargo,alserlafuentedeesainformacinerrneanoseestmanteniendolaintegridaddelorigen,yaquelafuentenoescorrecta.
Disponibilidad
Engeneral,eltrminodisponibilidadhacereferenciaaunacualidaddedisponibleydichodeunacosa"Quesepuededisponerlibrementedeellaoqueestlistaparausarseoutilizarse."
Entrminosdeseguridaddelainformacin,ladisponibilidadhacereferenciaaquelainformacindelsistemadebepermaneceraccesibleaelementosautorizados.
Elobjetivodeladisponibilidades,entonces,prevenirinterrupcionesnoautorizadas/controladasdelosrecursosinformticos.
En trminos de seguridad informtica un sistema est disponible cuando su diseo eimplementacinpermitedeliberadamentenegarelaccesoadatososerviciosdeterminados.Esdecir,unsistemaesdisponiblesipermitenoestardisponible.
Yunsistemanodisponibleestanmalocomonotenersistema.Nosirve.
Comoresumendelasbasesdelaseguridadinformticaquehemoscomentado,podemosdecirquelaseguridadconsisteenmantenerelequilibrioadecuadoentreestostresfactores.Notienesentidoconseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuarioadministradorpuedaaccederal,yaqueseestnegandoladisponibilidad.
Dependiendodelentornodetrabajoysusnecesidadessepuededarprioridadaunaspectodelaseguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidadde lainformacinfrentealadisponibilidad.Aunquealguienpuedaaccederaellaoinclusopuedaeliminarla
Pg.4de18
-
nopodrconocersucontenidoyreponerdichainformacinsertansencillocomorecuperarunacopiadeseguridad(silascosasseestnhaciendobien).
En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a laconfidencialidadodisponibilidad.Seconsideramenosdainoqueunusuariopuedaleerelsaldodeotrousuarioaquepuedamodificarlo.
MecanismosbsicosdeseguridadAutenticacin
DefinimoslaAutenticacincomolaverificacindelaidentidaddelusuario,generalmentecuandoentraenelsistemaolared,oaccedeaunabasededatos.
Normalmenteparaentrarenelsistemainformticoseutilizaunnombredeusuarioyunacontrasea.Pero,cadavezmsseestnutilizandootrastcnicasmasseguras.
Esposibleautenticarsedetresmaneras:
1. Porloqueunosabe(unacontrasea)
2. Porloqueunotiene(unatarjetamagntica)
3. Porloqueunoes(lashuellasdigitales)
Lautilizacindemsdeunmtodoalavezaumentalasprobabilidadesdequelaautenticacinseacorrecta.Peroladecisindeadoptarmsdeunmododeautenticacinporpartedelasempresasdebeestarenrelacinalvalordelainformacinaproteger.
La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando contraseas. Estemtodosermejoropeordependiendodelascaractersticasdelacontrasea.Enlamedidaquelacontraseaseamsgrandeycomplejaparaseradivinada,msdifcilserburlarestatcnica.
Adems,lacontraseadebeserconfidencial.Nopuedeserconocidapornadiemsqueelusuario.Muchasvecessucedequelosusuariosseprestanlascontraseasolasanotanenunpapelpegadoenelescritorioyquepuedeserledoporcualquierotrousuario,comprometiendoalaempresayalpropiodueo,yaquelaaccin/esquesehaganconesacontraseaes/sonresponsabilidaddeldueo.
Paraquelacontraseaseadifcildeadivinardebetenerunconjuntodecaracteresamplioyvariado(conminsculas, maysculasy nmeros). El problemaes que los usuarios difcilmente recuerdancontraseas tan elaboradas y utilizan (utilizamos) palabras previsibles (el nombre, el apellido, elnombredeusuario,elgrupomusicalpreferido,...),quefacilitanlatareaaquinquiereentrarenelsistemasinautorizacin.
Autorizacin
Definimosla Autorizacin como elprocesoporelcualsedeterminaqu,cmoycundo,unusuarioautenticadopuedeutilizarlosrecursosdelaorganizacin.
El mecanismoo el grado de autorizacin puede variar dependiendo de qu sea lo que se estprotegiendo.Notodalainformacindelaorganizacinesigualdecrtica.Losrecursosengeneralylosdatosenparticular,seorganizanennivelesycadaniveldebetenerunaautorizacin.
Dependiendodel recurso laautorizacinpuedehacersepormediode la firmaenun formularioomedianteunacontrasea,perosiempreesnecesarioquedichaautorizacinquederegistradaparasercontroladaposteriormente.
Enelcasodelosdatos,laautorizacindebeasegurarlaconfidencialidadeintegridad,yaseadandoodenegandoelaccesoenlectura,modificacin,creacinoborradodelosdatos.
Por otra parte, slo sedebedar autorizacinaacceder aun recursoaaquellos usuarios que lonecesitenparahacersutrabajo,ysinoselenegar.Aunquetambinesposibledarautorizacionestransitoriasomodificarlasamedidaquelasnecesidadesdelusuariovaren.
Pg.5de18
-
Administracin
DefinimoslaAdministracincomolaaccinqueestablece,mantieneyeliminalasautorizacionesdelosusuariosdelsistema,losrecursosdelsistemaylasrelacionesusuariosrecursosdelsistema.
Los administradores son responsables de transformar las polticas de la organizacin y lasautorizacionesotorgadasaunformatoquepuedaserusadoporelsistema.
Laadministracinde laseguridad informticadentrode la organizacinesunatareaencontinuocambioyevolucinyaquelastecnologasutilizadascambianmuyrpidamenteyconellaslosriesgos.
Normalmente todos los sistemas operativos que se precian disponen de mdulos especficos deadministracindeseguridad.Ytambinexistesoftwareexternoyespecficoquesepuedeutilizarencadasituacin.
Auditorayregistro
DefinimoslaAuditoracomolacontinuavigilanciadelosserviciosenproduccinyparaelloserecabainformacinyseanaliza.
Esteprocesopermitealosadministradoresverificarquelastcnicasdeautenticacinyautorizacinutilizadasserealizansegnloestablecidoysecumplenlosobjetivosfijadosporlaorganizacin.
Definimosel Registro como elmecanismoporelcualcualquierintentodeviolarlasreglasdeseguridadestablecidasquedaalmacenadoenunabasedeeventosparaluegoanalizarlo.
Peroauditaryregistrarnotienesentidosinovanacompaadosdeunestudioposteriorenelqueseanalicelainformacinrecabada.
Monitorear la informacin registrada o auditar se puede realizar mediante medios manuales oautomticos,yconunaperiodicidadquedependerdelocrticaquesealainformacinprotegidaydelnivelderiesgo.
Mantenimientodelaintegridad
DefinimoselMantenimientodelaintegridaddelainformacincomoelconjuntodeprocedimientosestablecidosparaevitarocontrolarquelosarchivossufrancambiosnoautorizadosyquelainformacinenviadadesdeunpuntolleguealdestinoinalterada.
Dentrodelastcnicasmsutilizadasparamantener(ocontrolar)laintegridaddelosdatosestn:usodeantivirus,encriptacinyfuncioneshash.
VulnerabilidadesdeunsistemainformticoEnunsistemainformticoloquequeremosprotegersonsusactivos,esdecir,losrecursosqueformanpartedelsistemayquepodemosagruparen:
Hardware:elementosfsicosdelsistemainformtico,talescomoprocesadores,electrnicaycableadodered,mediosdealmacenamiento(cabinas,discos,cintas,DVDs,...).
Software:elementoslgicosoprogramasqueseejecutansobreelhardware,tantosieselpropiosistemaoperativocomolasaplicaciones.
Datos:comprendenlainformacinlgicaqueprocesaelsoftwarehaciendousodelhardware.Engeneralserninformacionesestructuradasenbasesdedatosopaquetesdeinformacinqueviajanporlared.
Otros:fungibles,personas,infraestructuras,..aquellosquese'usanygastan'comopuedeserlatintaypapelenlasimpresoras,lossoportestipoDVDoinclusocintassilascopiassehacenenesemedio,etc.
Deellos losmascrticosson losdatos, el hardwareyel software. Esdecir, losdatosqueestn
Pg.6de18
-
almacenadosenelhardwareyquesonprocesadosporlasaplicacionessoftware.
Inclusodetodosellos,elactivomscrticosonlosdatos.Elrestosepuedereponerconfacilidadylos datos ... sabemos quedependen de que la empresa tenga unabuenapoltica de copias deseguridadyseacapazdereponerlosenelestadomsprximoalmomentoenqueseprodujo laprdida.Estopuedesuponerparalaempresa,porejemplo,ladificultadoimposibilidaddereponerdichosdatosconloqueconllevaradeprdidadetiempoydinero.
Vulnerabilidad:definicinyclasificacin
Definimos Vulnerabilidad como debilidaddecualquier tipoquecompromete laseguridaddelsistemainformtico.
Lasvulnerabilidadesdelossistemasinformticoslaspodemosagruparenfuncinde:
Diseo
Debilidadeneldiseodeprotocolosutilizadosenlasredes.
Polticasdeseguridaddeficienteseinexistentes.
Implementacin
Erroresdeprogramacin.
Existenciadepuertastraserasenlossistemasinformticos.
Descuidodelosfabricantes.
Uso
Malaconfiguracindelossistemasinformticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables deinformtica.
Disponibilidaddeherramientasquefacilitanlosataques.
Limitacingubernamentaldetecnologasdeseguridad.
Vulnerabilidaddeldacero
Seincluyenenestegrupoaquellasvulnerabilidadesparalascualesnoexisteunasolucinconocida,perosesabecomoexplotarla.
Vulnerabilidadesconocidas
Vulnerabilidaddedesbordamientodebuffer.
Siunprogramanocontrola lacantidaddedatosquesecopianenbuffer, puedellegarunmomentoenquesesobrepaselacapacidaddelbufferylosbytesquesobransealmacenanenzonasdememoriaadyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios deadministrador.
Vulnerabilidaddecondicindecarrera(racecondition)
Sivariosprocesosaccedenalmismotiempoaunrecursocompartidopuedeproducirseeste
Pg.7de18
-
tipodevulnerabilidad.Eselcasotpicodeunavariable,quecambiasuestadoypuedeobtenerdeestaformaunvalornoesperado.
VulnerabilidaddeCrossSiteScripting(XSS)
Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo VBSript oJavaScript en pginas web vistas por el usuario. El phishing es una aplicacin de estavulnerabilidad.EnelphishinglavctimacreequeestaccediendoaunaURL(laveenlabarradedirecciones),peroenrealidadestaccediendoaotrositiodiferente.Sielusuariointroducesuscredencialesenestesitioselasestenviandoalatacante.
Vulnerabilidaddedenegacindelservicio
Ladenegacindeserviciohacequeunservicioorecursonoestdisponibleparalosusuarios.Sueleprovocarlaprdidadelaconectividaddelaredporelconsumodelanchodebandadelareddelavctimaosobrecargadelosrecursosinformticosdelsistemadelavctima.
Vulnerabilidaddeventanasengaosas(WindowSpoofing)
Lasventanasengaosassonlasquedicenqueereselganadordetalocualcosa,locualesmentiraylonicoquequierenesqueelusuariodeinformacin.Hayotrotipodeventanasquesilassiguesobtienendatosdelordenadorparaluegorealizarunataque.
En http://www.cert.org/stats/ hay disponibles unas tablas que indican el nmero devulnerabilidadesdetectadasporao.Esinteresantevisitarlawebdevezencuandoycomprobarelelevadonmerodevulnerabilidadesquesevandetectando.Habraquevercuntasnosedetectan...
HerramientasEnel casodeservidoresLinux/Unix parahacerel anlisis devulnerabilidadessesueleutilizar elprogramaNessus.
NessusesdearquitecturaclienteservidorOpenSource,disponedeunabasededatosdepatronesdeataquespara lanzar contraunamquinaoconjuntodemquinasconel objetivode localizar susvulnerabilidades.
ExistesoftwarecomercialqueutilizaNessuscomomotorparaelanlisis.Porejemploest Catbird(www.catbird.com)queusaunportalparalagestincentralizadadelasvulnerabilidades,analizaexternamente e internamente la red teniendo en cuenta los accesos inalmbricos. Adems hacemonitoreo de servicios de red como el DNS y la disponibilidad de los portales web de lasorganizaciones.
EnotrossistemastipoWindowsest el MBSA MicrosoftBaselineSecurityAnalyzer quepermiteverificarlaconfiguracindeseguridad,detectandolosposiblesproblemasdeseguridadenelsistemaoperativoylosdiversoscomponentesinstalados.
Deququeremosprotegerelsistemainformtico?Yahemoshabladodelosprincipalesactivosoelementosfundamentalesdelsistemainformticoquesonvulnerablesyahoraveremosaqusonvulnerablesdichoselementos.
Comenzamosdefiniendoelconceptodeamenaza.
Entendemos la amenaza como el escenario en el que una accin o suceso, ya sea o nodeliberado,comprometelaseguridaddeunelementodelsistemainformtico.
Cuandoaunsistemainformticoseledetectaunavulnerabilidadyexisteunaamenazaasociadaadichavulnerabilidad,puedeocurrirqueelsucesooeventoseproduzcaynuestrosistemaestarenriesgo.
Sieleventoseproduceyelriesgoqueeraprobableahoraesreal,elsistemainformticosufrirdaosquehabrquevalorarcualitativaycuantitativamente,yestosellama'impacto'.
Pg.8de18
-
Integrandoestosconceptospodemosdecirqueuneventoproducidoenelsistemainformticoqueconstituyeunaamenaza,asociadaaunavulnerabilidaddelsistema,produceunimpactosobrel.
Siqueremoseliminarlasvulnerabilidadesdelsistemainformticooqueremosdisminuirelimpactoquepuedanproducirsobrel,hemosdeprotegerelsistemamedianteunaseriedemedidasquepodemosllamardefensasosalvaguardas.
PolticasdeseguridadCmopodemosprotegerelsistemainformtico?
Loprimeroquehemosdehaceresunanlisisdelasposiblesamenazasquepuedesufrirelsistemainformtico,unaestimacindelasprdidasqueesasamenazaspodransuponeryunestudiodelasprobabilidadesdequeocurran.
Apartirdeesteanlisishabrquedisearunapolticadeseguridadenlaqueseestablezcanlasresponsabilidadesyreglasaseguirparaevitaresasamenazasominimizarlosefectossiselleganaproducir.
Definimos Poltica de seguridad como un documento sencillo que define las directricesorganizativasenmateriadeseguridad(Villaln).
La poltica de seguridad se implementa mediante una serie de mecanismos de seguridad queconstituyen las herramientas para la proteccin del sistema. Estos mecanismos normalmente seapoyanennormativasquecubrenreasmasespecficas.
Esquemticamente:
Losmecanismosdeseguridadsedividenentresgrupos:
1. Prevencin:
Evitandesviacionesrespectoalapolticadeseguridad.
Ejemplo:utilizarelcifradoenlatransmisindelainformacinevitaqueunposibleatacantecapture(yentienda)informacinenunsistemadered.
2. Deteccin:
Detectanlasdesviacionessiseproducen,violacionesointentosdeviolacindelaseguridaddelsistema.
Ejemplo:laherramientaTripwireparalaseguridaddelosarchivos.
Pg.9de18
-
3. Recuperacin:
Seaplicancuandosehadetectadounaviolacindelaseguridaddelsistemapararecuperarsunormalfuncionamiento.
Ejemplo:lascopiasdeseguridad.
Dentrodelgrupodemecanismosdeprevencintenemos:
Mecanismosdeidentificacineautenticacin
Permiten identificar de forma nica 'entidades' del sistema. El proceso siguiente es laautenticacin,esdecir,comprobarquelaentidadesquiendiceser.
Pasadosestosdosfiltros,laentidadpuedeaccederaunobjetodelsistema.
Enconcretolossistemasdeidentificacinyautenticacindelosusuariossonlosmecanismosmasutilizados.
Mecanismosdecontroldeacceso
Losobjetosdelsistemadebenestarprotegidosmediantemecanismosdecontroldeaccesoqueestablecenlostiposdeaccesoalobjetoporpartedecualquierentidaddelsistema.
Mecanismosdeseparacin
Sielsistemadisponedediferentesnivelesdeseguridadsedebenimplementarmecanismosquepermitansepararlosobjetosdentrodecadanivel.
Losmecanismosdeseparacin,enfuncindecomoseparanlosobjetos,sedividenenlosgrupossiguientes:separacinfsica,temporal,lgica,criptogrficayfragmentacin.
Mecanismosdeseguridadenlascomunicaciones
La proteccin de la informacin (integridad y privacidad) cuando viaja por la red esespecialmenteimportante.Clsicamenteseutilizanprotocolosseguros,tipoSSHoKerberos,quecifraneltrficoporlared.
Polticasdeseguridad
ElobjetivodelaPolticadeSeguridaddeInformacindeunaorganizacines,porunlado,mostrarelposicionamientodelaorganizacinconrelacinalaseguridad,yporotroladoservirdebaseparadesarrollarlosprocedimientosconcretosdeseguridad.
Laempresadebedisponerdeundocumentoformalmenteelaboradosobreeltemayquedebeserdivulgadoentretodoslosempleados.
Noes necesario un grannivel de detalle, pero tampocohadequedar comounadeclaracindeintenciones.Lomsimportanteparaqueestassurtanefectoeslograrlaconcienciacin,entendimientoycompromisodetodoslosinvolucrados.
Laspolticasdebencontenerclaramentelaspracticasquesernadoptadasporlacompaa.Yestaspolticasdebenserrevisadas,ysiesnecesarioactualizadas,peridicamente.
Laspolticasdeben:
definir qu es seguridad de la informacin, cuales son sus objetivos principales y suimportanciadentrodelaorganizacin
mostrarelcompromisodesusaltoscargosconlamisma
definirlafilosofarespectoalaccesoalosdatos
establecerresponsabilidadesinherentesaltema
establecerlabaseparapoderdisearnormasyprocedimientosreferidosa
Pg.10de18
-
Organizacindelaseguridad
Clasificacinycontroldelosdatos
Seguridaddelaspersonas
Seguridadfsicayambiental
Plandecontingencia
Prevencinydeteccindevirus
Administracindeloscomputadores
A partir de las polticas se podr comenzar a desarrollar, primero las normas, y luego losprocedimientosdeseguridadquesernlaguaparalarealizacindelasactividades.
Lapolticadeseguridadcomprendetodaslasreglasdeseguridadquesigueunaorganizacin(enelsentidogeneraldelapalabra).Porlotanto, laadministracindelaorganizacinencuestindebeencargarsededefinirla,yaqueafectaatodoslosusuariosdelsistema.
Laseguridadinformticadeunacompaadependedequelosempleados(usuarios)aprendanlasreglasatravsdesesionesdecapacitacinydeconcienciacin.
Sinembargo,laseguridaddebeirmsalldelconocimientodelosempleadosycubrirlassiguientesreas:
Unmecanismodeseguridadfsicaylgicaqueseadaptealasnecesidadesdelacompaayalusodelosempleados
Unprocedimientoparaadministrarlasactualizaciones
Unaestrategiaderealizacindecopiasdeseguridadplanificadaadecuadamente
Unplanderecuperacinluegodeunincidente
Unsistemadocumentadoactualizado
Porlotantoycomoresumen,lapolticadeseguridadeseldocumentodereferenciaquedefinelosobjetivosdeseguridadylasmedidasquedebenimplementarseparatenerlacertezadealcanzarestosobjetivos.
Amenazas
Clasificacindelasamenazas
Deformageneralpodemosagruparlasamenazasen:
Amenazasfsicas
Amenazaslgicas
Estasamenazas,tantofsicascomolgicas,sonmaterializadasbsicamentepor:
laspersonas
programasespecficos
catstrofesnaturales
Podemostenerotroscriteriosdeagrupacindelasamenazas,comoson:
Origendelasamenazas
Amenazasnaturales:inundacin,incendio,tormenta,falloelctrico,explosin,etc...
Amenazas de agentes externos: virus informticos, ataques de una organizacin criminal,sabotajesterroristas,disturbiosyconflictossociales,intrusosenlared,robos,estafas,etc...
Pg.11de18
-
Amenazas de agentes internos: empleados descuidados con una formacin inadecuadaodescontentos,erroresenlautilizacindelasherramientasyrecursosdelsistema,etc...
Intencionalidaddelasamenazas
Accidentes:averasdelhardwareyfallosdelsoftware,incendio,inundacin,etc...
Errores:erroresdeutilizacin,deexplotacin,deejecucindeprocedimientos,etc...
Actuacionesmalintencionadas:robos,fraudes,sabotajes,intentosdeintrusin,etc...
Naturalezadelasamenazas
Laagrupacindelasamenazasatendiendoalfactordeseguridadquecomprometeneslasiguiente:
Interceptacin
Modificacin
Interrupcin
Fabricacin
1. Flujonormaldelainformacin:secorrespondeconelesquemasuperiordelafigura.
Segarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Disponibilidad:larecepcinyaccesoescorrecto.
2. Interceptacin: acceso a la informacin por parte de personas no autorizadas. Uso deprivilegiosnoadquiridos.
Deteccindifcil,nodejahuellas.
Segarantiza:
Integridad.
Disponibilidad
Nosegarantiza:
Confidencialidad:esposiblequealguiennoautorizadoaccedaalainformacin
Ejemplos:
Copiasilcitasdeprogramas
Pg.12de18
-
Escuchaenlneadedatos
3. Modificacin:accesonoautorizadoquecambiaelentornoparasubeneficio.
Deteccindifcilsegncircunstancias.
Segarantiza:
Disponibilidad:larecepcinescorrecta.
Nosegarantiza:
Integridad:losdatosenviadospuedensermodificadosenelcamino.
Confidencialidad:alguiennoautorizadoaccedealainformacin.
Ejemplos:
Modificacindebasesdedatos
Modificacindeelementosdelhardware
4. Interrupcin:puedeprovocarqueunobjetodelsistemasepierda,quedenoutilizableonodisponible.
Deteccininmediata.
Segarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Pg.13de18
-
Nosegarantiza:
Disponibilidad:puedequelarecepcinnoseacorrecta.
Ejemplos:
Destruccindelhardware
Borradodeprogramas,datos
Fallosenelsistemaoperativo
5. Fabricacin:puedeconsiderarsecomouncasoconcretodemodificacinyaqueseconsigueunobjetosimilaralatacadodeformaquenoresultesencillodistinguirentreobjetooriginalyelfabricado.
Deteccindifcil.Delitosdefalsificacin.
Enestecasosegarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Disponibilidad:larecepcinescorrecta.
Ejemplos:
Aadirtransaccionesenred
Aadirregistrosenbasededatos
Amenazasprovocadasporpersonas
Lamayorpartedelosataquesalossistemasinformticossonprovocados,intencionadamenteono,porlaspersonas.
Qusebusca?
Engeneralloquesebuscaesconseguirunniveldeprivilegioenelsistemaquelespermitarealizaraccionessobreelsistemanoautorizadas.
Podemosclasificarlaspersonas'atacantes'endosgrupos:
Activos: su objetivo es hacer dao de alguna forma. Eliminar informacin, modificar osustraerlaparasuprovecho.
Pasivos:suobjetivoescuriosearenelsistema.
Repasamosahoratodoslostiposdepersonasquepuedenconstituirunaamenazaparaelsistemainformticosinentrarendetalles:
Pg.14de18
-
Personaldelapropiaorganizacin
Exempleados
Curiosos
Crackers
Terroristas
Intrusosremunerados
Amenazasfsicas
Dentrodelasamenazasfsicaspodemosenglobarcualquiererrorodaoenelhardwarequesepuedepresentarencualquiermomento.Porejemplo,daosendiscosduros,enlosprocesadores,erroresdefuncionamientodelamemoria,etc.Todoselloshacenquelainformacinonoestaccesibleonoseafiable.
Otrotipodeamenazasfsicassonlascatstrofesnaturales.Porejemplohayzonasgeogrficasdelplanetaenlasquelasprobabilidadesdesufrirterremotos,huracanes,inundaciones,etc,sonmuchomaselevadas.
EnestoscasosenlosqueeslapropiaNaturalezalaquehaprovocadoeldesastredeseguridad,noporellohayquedescuidarloeintentarpreveralmximoestetipodesituaciones.
Hayotrotipodecatstrofesqueseconocencomoderiesgopocoprobable.Dentrodeestegrupotenemoslostaquesnucleares,impactosdemeteoritos,etc.yque,aunquesesabequeestnah,lasprobabilidadesdequesedesencadenensonmuybajasyenprincipionosetomanmedidascontraellos.
Yahemosexplicadoelconceptodeamenazafsica.Vamosaconocerahoraculessonlasprincipalesamenazasfsicasdeunsistemainformtico.
Tiposdeamenazasfsicas
Lasamenazasfsicaslaspodemosagruparenlasproducidaspor:
1. Accesofsico
Hayquetenerencuentaquecuandoexisteaccesofsicoaunrecursoyanoexisteseguridadsobrel.Suponeentoncesungranriesgoyprobablementeconunimpactomuyalto.
Amenudosedescuidaestetipodeseguridad.
Elejemplotpicodeestetipoeseldeunaorganizacinquedisponedetomasderedquenoestncontroladas,sonlibres.
2. Radiacioneselectromagnticas
Sabemos que cualquier aparato elctrico emite radiaciones y que dichas radiaciones sepueden capturar y reproducir, si se dispone del equipamiento adecuado. Por ejemplo, unposibleatacantepodra'escuchar'losdatosquecirculanporelcabletelefnico.
Esunproblemaquehoydacon lasredeswifi desprotegidas,porejemplo,vuelveaestarvigente.
3. Desastresnaturales
Respectoaterremotoselriesgoesreducidoennuestroentorno,yaqueEspaanoesunazonassmicamuyactiva.Perosonfenmenosnaturalesquesiseprodujerantendranungranimpactoynosoloentrminosdesistemasinformticos,sinoengeneralparalasociedad.
Siempre hay que tener en cuenta las caractersticas de cada zona en particular. LasposibilidadesdequeocurraunainundacinsonlasmismasentodaslasregionesdeEspaa.
Pg.15de18
-
Hayqueconocerbienelentornoenelqueestnfsicamentelossistemasinformticos.
4. Desastresdelentorno
Dentrodeestegrupoestaran incluidossucesosque, sin llegaraser desastresnaturales,puedentenerunimpactoigualdeimportantesinosedisponendelasmedidasdesalvaguardalistasyoperativas.
PuedeocurrirunincendioounapagnynotenerbiendefinidaslasmedidasatomarenestassituacionesosimplementenoteneroperativoelSAIquedeberaresponderdeformainmediataalcortedesuministroelctrico.
Descripcindealgunasamenazasfsicas
VeamosalgunasamenazasfsicasalasquesepuedeversometidounCPDyalgunasugerenciaparaevitarestetipoderiesgo.
Poraccionesnaturales:incendio,inundacin,condicionesclimatolgicas,sealesderadar,instalacioneselctricas,ergometra,
Poraccioneshostiles:robo,fraude,sabotaje,...
Por control de accesos: utilizacin de guardias, utilizacin de detectores de metales,utilizacindesistemasbiomtricos,seguridadconanimales,proteccinelectrnica,...
Comosepuedecomprobar,evaluarycontrolarpermanentementelaseguridadfsicadeledificioquealbergaelCPDeslabaseparacomenzaraintegrarlaseguridadcomounafuncinprimordialdentrodecualquierorganismo.
Tenercontroladoelambienteyaccesofsicopermite:
disminuirsiniestros
trabajarmejormanteniendolasensacindeseguridad
descartarfalsashiptesissiseprodujeranincidentes
tenerlosmediosparalucharcontraaccidentes
Lasdistintasalternativasenumeradassonsuficientesparaconocerentodomomentoelestadodelmedioenelquesetrabajayastomardecisionesenbasealainformacinofrecidaporlosmediosdecontroladecuados.
Estasdecisionespuedenvariardesdeelconocimientodelareasquerecorrenciertaspersonashastalaextremodeevacuareledificioencasodeaccidentes.
Amenazaslgicas
Elpuntomsdbildeunsistemainformticosonlaspersonasrelacionadasenmayoromenormedidacon l. Puede ser inexperiencia o falta de preparacin, o sin llegar a ataques intencionadospropiamente,simplementesucesosaccidentales.Peroque,encualquiercaso,hayqueprevenir.
Entrealgunosdelosataquespotencialesquepuedensercausadosporestaspersonas,encontramos:
Ingeniera social: consiste en la manipulacin de las personas para que voluntariamenterealicenactosquenormalmentenoharan.
ShoulderSurfing:consisteen"espiar"fsicamentealosusuariosparaobtenergeneralmenteclavesdeaccesoalsistema.
Masquerading:consisteensuplantarlaidentidaddeciertousuarioautorizadodeunsistemainformticoosuentorno.
Basureo:consisteenobtenerinformacindejadaenoalrededordeunsistemainformticotraslaejecucindeuntrabajo.
Pg.16de18
-
Actos delictivos: son actos tipificados claramente como delitos por las leyes, como elchantaje,elsobornoolaamenaza.
Atacanteinterno:lamayoramenazaprocededepersonasquehantrabajadootrabajanconlos sistemas. Estos posibles atacantes internos deben disponer de los privilegio mnimos,conocimientoparcial,rotacindefuncionesyseparacindefunciones,etc.
Atacante externo: suplanta la identidad de un usuario legtimo. Si un atacante externoconsiguepenetrarenelsistema,harecorridoel80%delcaminohastaconseguiruncontroltotaldeunrecurso.
Algunasamenazaslgicas
Lasamenazaslgicascomprendenunaseriedeprogramasquepuedendaarelsistemainformtico.Yestosprogramashansidocreados:
deformaintencionadaparahacerdao:softwaremaliciosoomalware(malicioussoftware)
porerror:bugsoagujeros.
Enumeramosalgunasdelasamenazasconlasquenospodemosencontrar:
1. Softwareincorrecto
Sonerroresdeprogramacin(bugs)ylosprogramasutilizadosparaaprovecharunodeestosfallosyatacaralsistemasonlosexploits.Eslaamenazamshabitual,yaqueesmuysencilloconseguirunexploityutilizarlosintenergrandesconocimientos.
2. Exploits
Sonlosprogramasqueaprovechanunavulnerabilidaddelsistema.Sonespecficosdecadasistemaoperativo,delaconfiguracindelsistemaydeltipoderedenlaqueseencuentren.Puedenhaberexploitsdiferentesenfuncindeltipodevulnerabilidad.
3. Herramientasdeseguridad
Puedeserutilizadaparadetectarysolucionarfallosenelsistemaounintrusopuedeutilizarlasparadetectar esosmismosfallosyaprovecharparaatacarel sistema.HerramientascomoNessus o Satan pueden ser tiles pero tambin peligrosas si son utilizadas por crackersbuscandoinformacinsobrelasvulnerabilidadesdeunhostodeunaredcompleta.
4. Puertastraseras
Duranteeldesarrollodeaplicacioneslosprogramadorespuedenincluir'atajos'enlossistemasdeautenticacinde la aplicacin. Estos atajos se llamanpuertas traseras, y conellos seconsiguemayorvelocidadalahoradedetectarydepurarfallos.Siestaspuertastraseras,unavezlaaplicacinhasidofinalizada,nosedestruyen,seestdejandoabiertaunapuertadeentradarpida.
5. Bombaslgicas
Sonpartesdecdigoquenoseejecutanhastaquesecumpleunacondicin.Alactivarse,lafuncinquerealizannoestarelacionadaconelprograma,suobjetivoesescompletamentediferente.
6. Virus
Secuenciadecdigoqueseincluyeenunarchivoejecutable(llamadohusped),ycuandoelarchivoseejecuta,elvirustambinseejecuta,propagndoseaotrosprogramas.
7. Gusanos
Programacapazdeejecutarseypropagarseporsmismoatravsderedes,ypuedellevarvirusoaprovecharbugsdelossistemasalosqueconectaparadaarlos.
Pg.17de18
-
8. CaballosdeTroya
LoscaballosdeTroyasoninstruccionesincluidasenunprogramaquesimulanrealizartareasqueseesperandeellas, peroenrealidadejecutan funcionesconel objetivodeocultar lapresenciadeunatacanteoparaasegurarselaentradaencasodeserdescubierto.
9. Spyware
Programas espaque recopilan informacinsobre unapersonao unaorganizacinsin suconocimiento.Estainformacinluegopuedesercedidaovendidaaempresaspublicitarias.Puedenrecopilarinformacindeltecladodelavctimapudiendoasconocercontraseaondecuentasbancariasopines.
10. Adware
Programasqueabrenventanasemergentesmostrandopublicidaddeproductosyservicios.Sesueleutilizarparasubvencionarlaaplicacinyqueelusuariopuedabajarlagratisuobtenerundescuento.Normalmenteelusuarioesconscientedeelloydasupermiso.
11. Spoofing
Tcnicasdesuplantacindeidentidadconfinesdudosos.
12. Phishing
Intentaconseguirinformacinconfidencialdeformafraudulenta(conseguircontraseasopinesbancarios)haciendounasuplantacindeidentidad.Paraelloelestafadorsehacepasarporunapersonaoempresadelaconfianzadelusuariomedianteuncorreoelectrnicooficialomensajerainstantnea,ydeestaformaconseguirlainformacin.
13. Spam
Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los correoselectrnicos,mensajerainstantneaymensajesamviles.
14. Programasconejoobacterias
Programas quenohacennada, solo se reproducen rpidamente hasta queel nmerodecopiasacabaconlosrecursosdelsistema(memoria,procesador,disco,etc.).
15. Tcnicassalami
Roboautomatizadodepequeascantidadesdinerodeunagrancantidadorigen.Esmuydifcilsudeteccinysesuelenutilizarparaatacarensistemasbancarios.
Pg.18de18