-
IntroduccinyConceptosGeneralesdelaSeguridadInformtica
http://recursostic.educacion.es/observatorio/web/eu/software/softwaregeneral/1040introduccionalaseguridadinformatica?showall=1
CuandosehabladeseguridadenelmbitodelasTICamenudoseconfundenlosconceptosdeseguridad
de la informacin y seguridad informtica. Y siendo ambos realmente
importantes ysimilares,haydiferenciasentreellos.
En este artculo hablaremos sobre los conceptos de seguridad de
la informacin y
seguridadinformticayexplicaremoslospilaressobrelosquesebasalaseguridaddelainformacin.
Tambinrepasaremosloselementosvulnerablesdeunsistemainformtico,elconceptodeamenaza,fuentesdeamenazasytipos,ascomolaspolticasdeseguridadqueadoptanlasorganizacionesparaasegurarsussistemasominimizarelimpactoquestaspudieranocasionar.
Seguridaddelainformacin/SeguridadinformticaExistenmuchasdefinicionesdeltrminoseguridad.Simplificando,yengeneral,podemosdefinir
laseguridadcomo:"Caractersticaqueindicaqueunsistemaestalibredetodopeligro,daooriesgo."(Villaln)
Cuandohablamosde seguridaddelainformacin
estamosindicandoquedichainformacintieneunarelevanciaespecialenuncontextodeterminadoyque,portanto,hayqueproteger.
La Seguridad de la Informacin se puede definir como conjunto de
medidas
tcnicas,organizativasylegalesquepermitenalaorganizacinasegurarlaconfidencialidad,integridadydisponibilidaddesusistemadeinformacin.
Hastalaaparicinydifusindelusodelossistemasinformticos,todalainformacindeintersdeunaorganizacin
se guardaba en papel y se almacenaba en grandes cantidades de
abultadosarchivadores.Datosdelosclientesoproveedoresdelaorganizacin,odelosempleadosquedabanregistradosenpapel,contodoslosproblemasqueluegoacarreabasualmacenaje,transporte,accesoyprocesado.
Lossistemasinformticospermitenladigitalizacindetodoestevolumendeinformacinreduciendoelespacioocupado,pero,sobretodo,facilitandosuanlisisyprocesado.Seganaen'espacio',acceso,rapidezenelprocesadodedichainformacinymejorasenlapresentacindedichainformacin.
Peroaparecenotrosproblemasligadosaesasfacilidades.Siesmsfciltransportarlainformacintambinhaymsposibilidadesdequedesaparezca'porelcamino'.Siesmsfcilaccederaellatambinesmsfcilmodificarsucontenido,etc.
Desdelaaparicindelosgrandessistemasaisladoshastanuestrosdas,enlosqueeltrabajoenredeslohabitual,losproblemasderivadosdelaseguridaddelainformacinhanidotambincambiando,evolucionando,
pero estn ah y las soluciones han tenido que ir adaptndose a los
nuevosrequerimientostcnicos.Aumentalasofisticacinenelataqueyelloaumentalacomplejidaddelasolucin,perolaesenciaeslamisma.
Existentambindiferentesdefinicionesdeltrmino
SeguridadInformtica.DeellasnosquedamosconladefinicinofrecidaporelestndarparalaseguridaddelainformacinISO/IEC27001,quefueaprobadoypublicadoenoctubrede2005porlaInternationalOrganizationforStandardization(ISO)yporlacomisinInternationalElectrotechnicalCommission(IEC).
Laseguridad informticaconsisteen la
implantacindeunconjuntodemedidas
tcnicasdestinadasapreservarlaconfidencialidad,laintegridadyladisponibilidaddelainformacin,pudiendo,
adems, abarcar otras propiedades, como la autenticidad, la
responsabilidad, la
Pg.1de18
-
fiabilidadyelnorepudio.
Comovemoseltrminoseguridaddelainformacinesmasamplioyaqueenglobaotrosaspectosrelacionadosconlaseguridadmasalldelospuramentetecnolgicos.
Seguridaddelainformacin:modeloPDCADentrodelaorganizacineltemadelaseguridaddelainformacinesuncaptulomuyimportantequerequierededicarletiempoyrecursos.LaorganizacindebeplantearseunSistemadeGestindelaSeguridaddelaInformacin(SGSI).
ElobjetivodeunSGSIesprotegerlainformacinyparaelloloprimeroquedebehaceresidentificarlosactivosdeinformacinquedebenserprotegidosyenqugrado.
Luego debe aplicarse el plan PDCA (PLAN DO CHECK ACT), es decir
Planificar, Hacer,Verificar,Actuaryvolverarepetirelciclo.
Seentiendelaseguridadcomounprocesoquenuncaterminayaquelosriesgosnuncaseeliminan,pero
sepuedengestionar. De los riesgossedesprendeque los
problemasdeseguridadnosonnicamentedenaturalezatecnolgica,yporesemotivonuncaseeliminanensutotalidad.
UnSGSIsiemprecumplecuatronivelesrepetitivosquecomienzanporPlanificaryterminanenActuar,consiguiendoasmejorarlaseguridad.
PLANIFICAR (Plan): consiste en establecer el contexto en el se
crean las polticas
deseguridad,sehaceelanlisisderiesgos,sehacelaseleccindecontrolesyelestadodeaplicabilidad
HACER
(Do):consisteenimplementarelsistemadegestindeseguridaddelainformacin,implementarelplanderiesgoseimplementarloscontroles.
VERIFICAR(Check):consisteenmonitorearlasactividadesyhacerauditorasinternas.
ACTUAR(Act):consisteenejecutartareasdemantenimiento,propuestasdemejora,accionespreventivasyaccionescorrectivas.
BasesdelaSeguridadInformticaFiabilidad
Existeunafrasequesehahechofamosadentrodelmundodelaseguridad.EugeneSpafford,profesordecienciasinformticasenlaUniversidadPurdue(Indiana,EEUU)yexpertoenseguridaddedatos,dijoqueelnicosistemaseguroesaquelqueestapagadoydesconectado,enterradoenunrefugio
Pg.2de18
-
de cemento, rodeado por gas venenoso y custodiado por guardianes
bien pagados y muy bienarmados.Anas,yonoapostaramividaporl.
Hablardeseguridadinformticaentrminosabsolutosesimposibleyporesemotivosehablamasbiendefiabilidaddelsistema,que,enrealidadesunarelajacindelprimertrmino.
Definimos la Fiabilidad como la
probabilidaddequeunsistemasecomporte tal y comoseesperadel.
Engeneral,unsistemaserseguroofiablesipodemosgarantizartresaspectos:
Confidencialidad:accesoalainformacinsolomedianteautorizacinydeformacontrolada.
Integridad:modificacindelainformacinsolomedianteautorizacin.
Disponibilidad:lainformacindelsistemadebepermaneceraccesiblemedianteautorizacin.
ExisteotrapropiedaddelossistemasqueeslaConfiabilidad,entendidacomoniveldecalidaddelservicioqueseofrece.
Peroestapropiedad,quehacereferenciaa la disponibilidad,
estaraalmismonivelquelaseguridad.EnnuestrocasomantenemoslaDisponibilidadcomounaspectodelaseguridad.
Confidencialidad
EngeneraleltrminoconfidencialhacereferenciaaQuesehaceosediceenconfianzaoconseguridadrecprocaentredosomspersonas.(http://buscon.rae.es)
Entrminosdeseguridaddelainformacin,laconfidencialidadhacereferenciaalanecesidaddeocultaromantenersecretosobredeterminadainformacinorecursos.
El objetivo de la confidencialidad es, entonces, prevenir la
divulgacin no autorizada de lainformacin.
Engeneral,cualquierempresapblicaoprivadaydecualquiermbitodeactuacinrequierequeciertainformacinnoseaaccedidapordiferentesmotivos.Unodelosejemplosmastpicoseseldelejrcitodeunpas.Adems,essabidoqueloslogrosmasimportantesenmateriadeseguridadsiemprevanligadosatemasestratgicosmilitares.
Porotraparte,
determinadasempresasamenudodesarrollandiseosquedebenprotegerdesuscompetidores.Lasostenibilidaddelaempresaascomosuposicionamientoenelmercadopuedendependerdeformadirectadelaimplementacindeestosdiseosy,poresemotivo,debenprotegerlosmediantemecanismosdecontroldeaccesoqueasegurenlaconfidencialidaddeesasinformaciones.
UnejemplotpicodemecanismoquegaranticelaconfidencialidadeslaCriptografa,cuyoobjetivoes
Pg.3de18
-
cifraroencriptarlosdatosparaqueresultenincomprensiblesaaquellosusuariosquenodisponendelospermisossuficientes.
Pero,inclusoenestacircunstancia,existeundatosensiblequehayqueprotegeryesla
clave
deencriptacin.Estaclaveesnecesariaparaqueelusuarioadecuadopuedadescifrarlainformacinrecibidayenfuncindeltipodemecanismodeencriptacinutilizado,laclavepuede/debeviajarporlared,pudiendosercapturadamedianteherramientasdiseadasparaello.Siseproduceestasituacin,laconfidencialidaddelaoperacinrealizada(seabancaria,administrativaodecualquiertipo)quedacomprometida.
Integridad
Engeneral, el trminointegridadhacereferenciaaunacualidaddentegro
e
indica"Quenocarecedeningunadesuspartes."yrelativoapersonas"Recta,proba,intachable.".
En trminos de seguridad de la informacin, la integridad hace
referencia a la fidelidad de lainformacin o recursos, y normalmente
se expresa en lo referente a prevenir el
cambioimpropioodesautorizado.
El objetivo de la integridad es, entonces, prevenir
modificaciones no autorizadas de lainformacin.
Laintegridadhacereferenciaa:
laintegridaddelosdatos(elvolumendelainformacin)
laintegridaddelorigen(lafuentedelosdatos,llamadaautenticacin)
Es importante hacer hincapi en la integridad del origen, ya que
puede afectar a su
exactitud,credibilidadyconfianzaquelaspersonasponenenlainformacin.
Amenudoocurrequealhablardeintegridaddelainformacinnosedaenestosdosaspectos.
Porejemplo,cuandounperidicodifundeunainformacincuyafuentenoescorrecta,podemosdecirque
se mantiene la integridadde la informacinya que se difunde por
medio impreso, pero
sinembargo,alserlafuentedeesainformacinerrneanoseestmanteniendolaintegridaddelorigen,yaquelafuentenoescorrecta.
Disponibilidad
Engeneral,eltrminodisponibilidadhacereferenciaaunacualidaddedisponibleydichodeunacosa"Quesepuededisponerlibrementedeellaoqueestlistaparausarseoutilizarse."
Entrminosdeseguridaddelainformacin,ladisponibilidadhacereferenciaaquelainformacindelsistemadebepermaneceraccesibleaelementosautorizados.
Elobjetivodeladisponibilidades,entonces,prevenirinterrupcionesnoautorizadas/controladasdelosrecursosinformticos.
En trminos de seguridad informtica un sistema est disponible
cuando su diseo
eimplementacinpermitedeliberadamentenegarelaccesoadatososerviciosdeterminados.Esdecir,unsistemaesdisponiblesipermitenoestardisponible.
Yunsistemanodisponibleestanmalocomonotenersistema.Nosirve.
Comoresumendelasbasesdelaseguridadinformticaquehemoscomentado,podemosdecirquelaseguridadconsisteenmantenerelequilibrioadecuadoentreestostresfactores.Notienesentidoconseguir
la confidencialidad para un archivo si es a costa de que ni tan
siquiera el
usuarioadministradorpuedaaccederal,yaqueseestnegandoladisponibilidad.
Dependiendodelentornodetrabajoysusnecesidadessepuededarprioridadaunaspectodelaseguridad
o a otro. En ambientes militares suele ser siempre prioritaria la
confidencialidadde
lainformacinfrentealadisponibilidad.Aunquealguienpuedaaccederaellaoinclusopuedaeliminarla
Pg.4de18
-
nopodrconocersucontenidoyreponerdichainformacinsertansencillocomorecuperarunacopiadeseguridad(silascosasseestnhaciendobien).
En ambientes bancarios es prioritaria siempre la integridad de
la informacin frente a
laconfidencialidadodisponibilidad.Seconsideramenosdainoqueunusuariopuedaleerelsaldodeotrousuarioaquepuedamodificarlo.
MecanismosbsicosdeseguridadAutenticacin
DefinimoslaAutenticacincomolaverificacindelaidentidaddelusuario,generalmentecuandoentraenelsistemaolared,oaccedeaunabasededatos.
Normalmenteparaentrarenelsistemainformticoseutilizaunnombredeusuarioyunacontrasea.Pero,cadavezmsseestnutilizandootrastcnicasmasseguras.
Esposibleautenticarsedetresmaneras:
1. Porloqueunosabe(unacontrasea)
2. Porloqueunotiene(unatarjetamagntica)
3. Porloqueunoes(lashuellasdigitales)
Lautilizacindemsdeunmtodoalavezaumentalasprobabilidadesdequelaautenticacinseacorrecta.Peroladecisindeadoptarmsdeunmododeautenticacinporpartedelasempresasdebeestarenrelacinalvalordelainformacinaproteger.
La tcnica ms usual (aunque no siempre bien) es la autenticacin
utilizando contraseas.
Estemtodosermejoropeordependiendodelascaractersticasdelacontrasea.Enlamedidaquelacontraseaseamsgrandeycomplejaparaseradivinada,msdifcilserburlarestatcnica.
Adems,lacontraseadebeserconfidencial.Nopuedeserconocidapornadiemsqueelusuario.Muchasvecessucedequelosusuariosseprestanlascontraseasolasanotanenunpapelpegadoenelescritorioyquepuedeserledoporcualquierotrousuario,comprometiendoalaempresayalpropiodueo,yaquelaaccin/esquesehaganconesacontraseaes/sonresponsabilidaddeldueo.
Paraquelacontraseaseadifcildeadivinardebetenerunconjuntodecaracteresamplioyvariado(conminsculas,
maysculasy nmeros). El problemaes que los usuarios difcilmente
recuerdancontraseas tan elaboradas y utilizan (utilizamos) palabras
previsibles (el nombre, el apellido,
elnombredeusuario,elgrupomusicalpreferido,...),quefacilitanlatareaaquinquiereentrarenelsistemasinautorizacin.
Autorizacin
Definimosla Autorizacin como
elprocesoporelcualsedeterminaqu,cmoycundo,unusuarioautenticadopuedeutilizarlosrecursosdelaorganizacin.
El mecanismoo el grado de autorizacin puede variar dependiendo
de qu sea lo que se
estprotegiendo.Notodalainformacindelaorganizacinesigualdecrtica.Losrecursosengeneralylosdatosenparticular,seorganizanennivelesycadaniveldebetenerunaautorizacin.
Dependiendodel recurso laautorizacinpuedehacersepormediode la
firmaenun
formularioomedianteunacontrasea,perosiempreesnecesarioquedichaautorizacinquederegistradaparasercontroladaposteriormente.
Enelcasodelosdatos,laautorizacindebeasegurarlaconfidencialidadeintegridad,yaseadandoodenegandoelaccesoenlectura,modificacin,creacinoborradodelosdatos.
Por otra parte, slo sedebedar autorizacinaacceder aun
recursoaaquellos usuarios que
lonecesitenparahacersutrabajo,ysinoselenegar.Aunquetambinesposibledarautorizacionestransitoriasomodificarlasamedidaquelasnecesidadesdelusuariovaren.
Pg.5de18
-
Administracin
DefinimoslaAdministracincomolaaccinqueestablece,mantieneyeliminalasautorizacionesdelosusuariosdelsistema,losrecursosdelsistemaylasrelacionesusuariosrecursosdelsistema.
Los administradores son responsables de transformar las polticas
de la organizacin y
lasautorizacionesotorgadasaunformatoquepuedaserusadoporelsistema.
Laadministracinde laseguridad informticadentrode la
organizacinesunatareaencontinuocambioyevolucinyaquelastecnologasutilizadascambianmuyrpidamenteyconellaslosriesgos.
Normalmente todos los sistemas operativos que se precian
disponen de mdulos especficos
deadministracindeseguridad.Ytambinexistesoftwareexternoyespecficoquesepuedeutilizarencadasituacin.
Auditorayregistro
DefinimoslaAuditoracomolacontinuavigilanciadelosserviciosenproduccinyparaelloserecabainformacinyseanaliza.
Esteprocesopermitealosadministradoresverificarquelastcnicasdeautenticacinyautorizacinutilizadasserealizansegnloestablecidoysecumplenlosobjetivosfijadosporlaorganizacin.
Definimosel Registro como
elmecanismoporelcualcualquierintentodeviolarlasreglasdeseguridadestablecidasquedaalmacenadoenunabasedeeventosparaluegoanalizarlo.
Peroauditaryregistrarnotienesentidosinovanacompaadosdeunestudioposteriorenelqueseanalicelainformacinrecabada.
Monitorear la informacin registrada o auditar se puede realizar
mediante medios manuales
oautomticos,yconunaperiodicidadquedependerdelocrticaquesealainformacinprotegidaydelnivelderiesgo.
Mantenimientodelaintegridad
DefinimoselMantenimientodelaintegridaddelainformacincomoelconjuntodeprocedimientosestablecidosparaevitarocontrolarquelosarchivossufrancambiosnoautorizadosyquelainformacinenviadadesdeunpuntolleguealdestinoinalterada.
Dentrodelastcnicasmsutilizadasparamantener(ocontrolar)laintegridaddelosdatosestn:usodeantivirus,encriptacinyfuncioneshash.
VulnerabilidadesdeunsistemainformticoEnunsistemainformticoloquequeremosprotegersonsusactivos,esdecir,losrecursosqueformanpartedelsistemayquepodemosagruparen:
Hardware:elementosfsicosdelsistemainformtico,talescomoprocesadores,electrnicaycableadodered,mediosdealmacenamiento(cabinas,discos,cintas,DVDs,...).
Software:elementoslgicosoprogramasqueseejecutansobreelhardware,tantosieselpropiosistemaoperativocomolasaplicaciones.
Datos:comprendenlainformacinlgicaqueprocesaelsoftwarehaciendousodelhardware.Engeneralserninformacionesestructuradasenbasesdedatosopaquetesdeinformacinqueviajanporlared.
Otros:fungibles,personas,infraestructuras,..aquellosquese'usanygastan'comopuedeserlatintaypapelenlasimpresoras,lossoportestipoDVDoinclusocintassilascopiassehacenenesemedio,etc.
Deellos losmascrticosson losdatos, el hardwareyel software.
Esdecir, losdatosqueestn
Pg.6de18
-
almacenadosenelhardwareyquesonprocesadosporlasaplicacionessoftware.
Inclusodetodosellos,elactivomscrticosonlosdatos.Elrestosepuedereponerconfacilidadylos
datos ... sabemos quedependen de que la empresa tenga
unabuenapoltica de copias
deseguridadyseacapazdereponerlosenelestadomsprximoalmomentoenqueseprodujo
laprdida.Estopuedesuponerparalaempresa,porejemplo,ladificultadoimposibilidaddereponerdichosdatosconloqueconllevaradeprdidadetiempoydinero.
Vulnerabilidad:definicinyclasificacin
Definimos Vulnerabilidad como debilidaddecualquier
tipoquecompromete laseguridaddelsistemainformtico.
Lasvulnerabilidadesdelossistemasinformticoslaspodemosagruparenfuncinde:
Diseo
Debilidadeneldiseodeprotocolosutilizadosenlasredes.
Polticasdeseguridaddeficienteseinexistentes.
Implementacin
Erroresdeprogramacin.
Existenciadepuertastraserasenlossistemasinformticos.
Descuidodelosfabricantes.
Uso
Malaconfiguracindelossistemasinformticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de
los responsables deinformtica.
Disponibilidaddeherramientasquefacilitanlosataques.
Limitacingubernamentaldetecnologasdeseguridad.
Vulnerabilidaddeldacero
Seincluyenenestegrupoaquellasvulnerabilidadesparalascualesnoexisteunasolucinconocida,perosesabecomoexplotarla.
Vulnerabilidadesconocidas
Vulnerabilidaddedesbordamientodebuffer.
Siunprogramanocontrola lacantidaddedatosquesecopianenbuffer,
puedellegarunmomentoenquesesobrepaselacapacidaddelbufferylosbytesquesobransealmacenanenzonasdememoriaadyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos
de privilegios deadministrador.
Vulnerabilidaddecondicindecarrera(racecondition)
Sivariosprocesosaccedenalmismotiempoaunrecursocompartidopuedeproducirseeste
Pg.7de18
-
tipodevulnerabilidad.Eselcasotpicodeunavariable,quecambiasuestadoypuedeobtenerdeestaformaunvalornoesperado.
VulnerabilidaddeCrossSiteScripting(XSS)
Es una vulnerabilidad de las aplicaciones web, que permite
inyectar cdigo VBSript oJavaScript en pginas web vistas por el
usuario. El phishing es una aplicacin de
estavulnerabilidad.EnelphishinglavctimacreequeestaccediendoaunaURL(laveenlabarradedirecciones),peroenrealidadestaccediendoaotrositiodiferente.Sielusuariointroducesuscredencialesenestesitioselasestenviandoalatacante.
Vulnerabilidaddedenegacindelservicio
Ladenegacindeserviciohacequeunservicioorecursonoestdisponibleparalosusuarios.Sueleprovocarlaprdidadelaconectividaddelaredporelconsumodelanchodebandadelareddelavctimaosobrecargadelosrecursosinformticosdelsistemadelavctima.
Vulnerabilidaddeventanasengaosas(WindowSpoofing)
Lasventanasengaosassonlasquedicenqueereselganadordetalocualcosa,locualesmentiraylonicoquequierenesqueelusuariodeinformacin.Hayotrotipodeventanasquesilassiguesobtienendatosdelordenadorparaluegorealizarunataque.
En http://www.cert.org/stats/ hay disponibles unas tablas que
indican el nmero
devulnerabilidadesdetectadasporao.Esinteresantevisitarlawebdevezencuandoycomprobarelelevadonmerodevulnerabilidadesquesevandetectando.Habraquevercuntasnosedetectan...
HerramientasEnel casodeservidoresLinux/Unix parahacerel anlisis
devulnerabilidadessesueleutilizar elprogramaNessus.
NessusesdearquitecturaclienteservidorOpenSource,disponedeunabasededatosdepatronesdeataquespara
lanzar contraunamquinaoconjuntodemquinasconel objetivode localizar
susvulnerabilidades.
ExistesoftwarecomercialqueutilizaNessuscomomotorparaelanlisis.Porejemploest
Catbird(www.catbird.com)queusaunportalparalagestincentralizadadelasvulnerabilidades,analizaexternamente
e internamente la red teniendo en cuenta los accesos inalmbricos.
Adems hacemonitoreo de servicios de red como el DNS y la
disponibilidad de los portales web de lasorganizaciones.
EnotrossistemastipoWindowsest el MBSA
MicrosoftBaselineSecurityAnalyzer
quepermiteverificarlaconfiguracindeseguridad,detectandolosposiblesproblemasdeseguridadenelsistemaoperativoylosdiversoscomponentesinstalados.
Deququeremosprotegerelsistemainformtico?Yahemoshabladodelosprincipalesactivosoelementosfundamentalesdelsistemainformticoquesonvulnerablesyahoraveremosaqusonvulnerablesdichoselementos.
Comenzamosdefiniendoelconceptodeamenaza.
Entendemos la amenaza como el escenario en el que una accin o
suceso, ya sea o
nodeliberado,comprometelaseguridaddeunelementodelsistemainformtico.
Cuandoaunsistemainformticoseledetectaunavulnerabilidadyexisteunaamenazaasociadaadichavulnerabilidad,puedeocurrirqueelsucesooeventoseproduzcaynuestrosistemaestarenriesgo.
Sieleventoseproduceyelriesgoqueeraprobableahoraesreal,elsistemainformticosufrirdaosquehabrquevalorarcualitativaycuantitativamente,yestosellama'impacto'.
Pg.8de18
-
Integrandoestosconceptospodemosdecirqueuneventoproducidoenelsistemainformticoqueconstituyeunaamenaza,asociadaaunavulnerabilidaddelsistema,produceunimpactosobrel.
Siqueremoseliminarlasvulnerabilidadesdelsistemainformticooqueremosdisminuirelimpactoquepuedanproducirsobrel,hemosdeprotegerelsistemamedianteunaseriedemedidasquepodemosllamardefensasosalvaguardas.
PolticasdeseguridadCmopodemosprotegerelsistemainformtico?
Loprimeroquehemosdehaceresunanlisisdelasposiblesamenazasquepuedesufrirelsistemainformtico,unaestimacindelasprdidasqueesasamenazaspodransuponeryunestudiodelasprobabilidadesdequeocurran.
Apartirdeesteanlisishabrquedisearunapolticadeseguridadenlaqueseestablezcanlasresponsabilidadesyreglasaseguirparaevitaresasamenazasominimizarlosefectossiselleganaproducir.
Definimos Poltica de seguridad como un documento sencillo que
define las
directricesorganizativasenmateriadeseguridad(Villaln).
La poltica de seguridad se implementa mediante una serie de
mecanismos de seguridad queconstituyen las herramientas para la
proteccin del sistema. Estos mecanismos normalmente
seapoyanennormativasquecubrenreasmasespecficas.
Esquemticamente:
Losmecanismosdeseguridadsedividenentresgrupos:
1. Prevencin:
Evitandesviacionesrespectoalapolticadeseguridad.
Ejemplo:utilizarelcifradoenlatransmisindelainformacinevitaqueunposibleatacantecapture(yentienda)informacinenunsistemadered.
2. Deteccin:
Detectanlasdesviacionessiseproducen,violacionesointentosdeviolacindelaseguridaddelsistema.
Ejemplo:laherramientaTripwireparalaseguridaddelosarchivos.
Pg.9de18
-
3. Recuperacin:
Seaplicancuandosehadetectadounaviolacindelaseguridaddelsistemapararecuperarsunormalfuncionamiento.
Ejemplo:lascopiasdeseguridad.
Dentrodelgrupodemecanismosdeprevencintenemos:
Mecanismosdeidentificacineautenticacin
Permiten identificar de forma nica 'entidades' del sistema. El
proceso siguiente es
laautenticacin,esdecir,comprobarquelaentidadesquiendiceser.
Pasadosestosdosfiltros,laentidadpuedeaccederaunobjetodelsistema.
Enconcretolossistemasdeidentificacinyautenticacindelosusuariossonlosmecanismosmasutilizados.
Mecanismosdecontroldeacceso
Losobjetosdelsistemadebenestarprotegidosmediantemecanismosdecontroldeaccesoqueestablecenlostiposdeaccesoalobjetoporpartedecualquierentidaddelsistema.
Mecanismosdeseparacin
Sielsistemadisponedediferentesnivelesdeseguridadsedebenimplementarmecanismosquepermitansepararlosobjetosdentrodecadanivel.
Losmecanismosdeseparacin,enfuncindecomoseparanlosobjetos,sedividenenlosgrupossiguientes:separacinfsica,temporal,lgica,criptogrficayfragmentacin.
Mecanismosdeseguridadenlascomunicaciones
La proteccin de la informacin (integridad y privacidad) cuando
viaja por la red
esespecialmenteimportante.Clsicamenteseutilizanprotocolosseguros,tipoSSHoKerberos,quecifraneltrficoporlared.
Polticasdeseguridad
ElobjetivodelaPolticadeSeguridaddeInformacindeunaorganizacines,porunlado,mostrarelposicionamientodelaorganizacinconrelacinalaseguridad,yporotroladoservirdebaseparadesarrollarlosprocedimientosconcretosdeseguridad.
Laempresadebedisponerdeundocumentoformalmenteelaboradosobreeltemayquedebeserdivulgadoentretodoslosempleados.
Noes necesario un grannivel de detalle, pero tampocohadequedar
comounadeclaracindeintenciones.Lomsimportanteparaqueestassurtanefectoeslograrlaconcienciacin,entendimientoycompromisodetodoslosinvolucrados.
Laspolticasdebencontenerclaramentelaspracticasquesernadoptadasporlacompaa.Yestaspolticasdebenserrevisadas,ysiesnecesarioactualizadas,peridicamente.
Laspolticasdeben:
definir qu es seguridad de la informacin, cuales son sus
objetivos principales y suimportanciadentrodelaorganizacin
mostrarelcompromisodesusaltoscargosconlamisma
definirlafilosofarespectoalaccesoalosdatos
establecerresponsabilidadesinherentesaltema
establecerlabaseparapoderdisearnormasyprocedimientosreferidosa
Pg.10de18
-
Organizacindelaseguridad
Clasificacinycontroldelosdatos
Seguridaddelaspersonas
Seguridadfsicayambiental
Plandecontingencia
Prevencinydeteccindevirus
Administracindeloscomputadores
A partir de las polticas se podr comenzar a desarrollar, primero
las normas, y luego
losprocedimientosdeseguridadquesernlaguaparalarealizacindelasactividades.
Lapolticadeseguridadcomprendetodaslasreglasdeseguridadquesigueunaorganizacin(enelsentidogeneraldelapalabra).Porlotanto,
laadministracindelaorganizacinencuestindebeencargarsededefinirla,yaqueafectaatodoslosusuariosdelsistema.
Laseguridadinformticadeunacompaadependedequelosempleados(usuarios)aprendanlasreglasatravsdesesionesdecapacitacinydeconcienciacin.
Sinembargo,laseguridaddebeirmsalldelconocimientodelosempleadosycubrirlassiguientesreas:
Unmecanismodeseguridadfsicaylgicaqueseadaptealasnecesidadesdelacompaayalusodelosempleados
Unprocedimientoparaadministrarlasactualizaciones
Unaestrategiaderealizacindecopiasdeseguridadplanificadaadecuadamente
Unplanderecuperacinluegodeunincidente
Unsistemadocumentadoactualizado
Porlotantoycomoresumen,lapolticadeseguridadeseldocumentodereferenciaquedefinelosobjetivosdeseguridadylasmedidasquedebenimplementarseparatenerlacertezadealcanzarestosobjetivos.
Amenazas
Clasificacindelasamenazas
Deformageneralpodemosagruparlasamenazasen:
Amenazasfsicas
Amenazaslgicas
Estasamenazas,tantofsicascomolgicas,sonmaterializadasbsicamentepor:
laspersonas
programasespecficos
catstrofesnaturales
Podemostenerotroscriteriosdeagrupacindelasamenazas,comoson:
Origendelasamenazas
Amenazasnaturales:inundacin,incendio,tormenta,falloelctrico,explosin,etc...
Amenazas de agentes externos: virus informticos, ataques de una
organizacin
criminal,sabotajesterroristas,disturbiosyconflictossociales,intrusosenlared,robos,estafas,etc...
Pg.11de18
-
Amenazas de agentes internos: empleados descuidados con una
formacin
inadecuadaodescontentos,erroresenlautilizacindelasherramientasyrecursosdelsistema,etc...
Intencionalidaddelasamenazas
Accidentes:averasdelhardwareyfallosdelsoftware,incendio,inundacin,etc...
Errores:erroresdeutilizacin,deexplotacin,deejecucindeprocedimientos,etc...
Actuacionesmalintencionadas:robos,fraudes,sabotajes,intentosdeintrusin,etc...
Naturalezadelasamenazas
Laagrupacindelasamenazasatendiendoalfactordeseguridadquecomprometeneslasiguiente:
Interceptacin
Modificacin
Interrupcin
Fabricacin
1.
Flujonormaldelainformacin:secorrespondeconelesquemasuperiordelafigura.
Segarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Disponibilidad:larecepcinyaccesoescorrecto.
2. Interceptacin: acceso a la informacin por parte de personas
no autorizadas. Uso deprivilegiosnoadquiridos.
Deteccindifcil,nodejahuellas.
Segarantiza:
Integridad.
Disponibilidad
Nosegarantiza:
Confidencialidad:esposiblequealguiennoautorizadoaccedaalainformacin
Ejemplos:
Copiasilcitasdeprogramas
Pg.12de18
-
Escuchaenlneadedatos
3.
Modificacin:accesonoautorizadoquecambiaelentornoparasubeneficio.
Deteccindifcilsegncircunstancias.
Segarantiza:
Disponibilidad:larecepcinescorrecta.
Nosegarantiza:
Integridad:losdatosenviadospuedensermodificadosenelcamino.
Confidencialidad:alguiennoautorizadoaccedealainformacin.
Ejemplos:
Modificacindebasesdedatos
Modificacindeelementosdelhardware
4.
Interrupcin:puedeprovocarqueunobjetodelsistemasepierda,quedenoutilizableonodisponible.
Deteccininmediata.
Segarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Pg.13de18
-
Nosegarantiza:
Disponibilidad:puedequelarecepcinnoseacorrecta.
Ejemplos:
Destruccindelhardware
Borradodeprogramas,datos
Fallosenelsistemaoperativo
5.
Fabricacin:puedeconsiderarsecomouncasoconcretodemodificacinyaqueseconsigueunobjetosimilaralatacadodeformaquenoresultesencillodistinguirentreobjetooriginalyelfabricado.
Deteccindifcil.Delitosdefalsificacin.
Enestecasosegarantiza:
Confidencialidad:nadienoautorizadoaccedealainformacin.
Integridad:losdatosenviadosnosemodificanenelcamino.
Disponibilidad:larecepcinescorrecta.
Ejemplos:
Aadirtransaccionesenred
Aadirregistrosenbasededatos
Amenazasprovocadasporpersonas
Lamayorpartedelosataquesalossistemasinformticossonprovocados,intencionadamenteono,porlaspersonas.
Qusebusca?
Engeneralloquesebuscaesconseguirunniveldeprivilegioenelsistemaquelespermitarealizaraccionessobreelsistemanoautorizadas.
Podemosclasificarlaspersonas'atacantes'endosgrupos:
Activos: su objetivo es hacer dao de alguna forma. Eliminar
informacin, modificar osustraerlaparasuprovecho.
Pasivos:suobjetivoescuriosearenelsistema.
Repasamosahoratodoslostiposdepersonasquepuedenconstituirunaamenazaparaelsistemainformticosinentrarendetalles:
Pg.14de18
-
Personaldelapropiaorganizacin
Exempleados
Curiosos
Crackers
Terroristas
Intrusosremunerados
Amenazasfsicas
Dentrodelasamenazasfsicaspodemosenglobarcualquiererrorodaoenelhardwarequesepuedepresentarencualquiermomento.Porejemplo,daosendiscosduros,enlosprocesadores,erroresdefuncionamientodelamemoria,etc.Todoselloshacenquelainformacinonoestaccesibleonoseafiable.
Otrotipodeamenazasfsicassonlascatstrofesnaturales.Porejemplohayzonasgeogrficasdelplanetaenlasquelasprobabilidadesdesufrirterremotos,huracanes,inundaciones,etc,sonmuchomaselevadas.
EnestoscasosenlosqueeslapropiaNaturalezalaquehaprovocadoeldesastredeseguridad,noporellohayquedescuidarloeintentarpreveralmximoestetipodesituaciones.
Hayotrotipodecatstrofesqueseconocencomoderiesgopocoprobable.Dentrodeestegrupotenemoslostaquesnucleares,impactosdemeteoritos,etc.yque,aunquesesabequeestnah,lasprobabilidadesdequesedesencadenensonmuybajasyenprincipionosetomanmedidascontraellos.
Yahemosexplicadoelconceptodeamenazafsica.Vamosaconocerahoraculessonlasprincipalesamenazasfsicasdeunsistemainformtico.
Tiposdeamenazasfsicas
Lasamenazasfsicaslaspodemosagruparenlasproducidaspor:
1. Accesofsico
Hayquetenerencuentaquecuandoexisteaccesofsicoaunrecursoyanoexisteseguridadsobrel.Suponeentoncesungranriesgoyprobablementeconunimpactomuyalto.
Amenudosedescuidaestetipodeseguridad.
Elejemplotpicodeestetipoeseldeunaorganizacinquedisponedetomasderedquenoestncontroladas,sonlibres.
2. Radiacioneselectromagnticas
Sabemos que cualquier aparato elctrico emite radiaciones y que
dichas radiaciones sepueden capturar y reproducir, si se dispone
del equipamiento adecuado. Por ejemplo,
unposibleatacantepodra'escuchar'losdatosquecirculanporelcabletelefnico.
Esunproblemaquehoydacon lasredeswifi
desprotegidas,porejemplo,vuelveaestarvigente.
3. Desastresnaturales
Respectoaterremotoselriesgoesreducidoennuestroentorno,yaqueEspaanoesunazonassmicamuyactiva.Perosonfenmenosnaturalesquesiseprodujerantendranungranimpactoynosoloentrminosdesistemasinformticos,sinoengeneralparalasociedad.
Siempre hay que tener en cuenta las caractersticas de cada zona
en particular.
LasposibilidadesdequeocurraunainundacinsonlasmismasentodaslasregionesdeEspaa.
Pg.15de18
-
Hayqueconocerbienelentornoenelqueestnfsicamentelossistemasinformticos.
4. Desastresdelentorno
Dentrodeestegrupoestaran incluidossucesosque, sin llegaraser
desastresnaturales,puedentenerunimpactoigualdeimportantesinosedisponendelasmedidasdesalvaguardalistasyoperativas.
PuedeocurrirunincendioounapagnynotenerbiendefinidaslasmedidasatomarenestassituacionesosimplementenoteneroperativoelSAIquedeberaresponderdeformainmediataalcortedesuministroelctrico.
Descripcindealgunasamenazasfsicas
VeamosalgunasamenazasfsicasalasquesepuedeversometidounCPDyalgunasugerenciaparaevitarestetipoderiesgo.
Poraccionesnaturales:incendio,inundacin,condicionesclimatolgicas,sealesderadar,instalacioneselctricas,ergometra,
Poraccioneshostiles:robo,fraude,sabotaje,...
Por control de accesos: utilizacin de guardias, utilizacin de
detectores de
metales,utilizacindesistemasbiomtricos,seguridadconanimales,proteccinelectrnica,...
Comosepuedecomprobar,evaluarycontrolarpermanentementelaseguridadfsicadeledificioquealbergaelCPDeslabaseparacomenzaraintegrarlaseguridadcomounafuncinprimordialdentrodecualquierorganismo.
Tenercontroladoelambienteyaccesofsicopermite:
disminuirsiniestros
trabajarmejormanteniendolasensacindeseguridad
descartarfalsashiptesissiseprodujeranincidentes
tenerlosmediosparalucharcontraaccidentes
Lasdistintasalternativasenumeradassonsuficientesparaconocerentodomomentoelestadodelmedioenelquesetrabajayastomardecisionesenbasealainformacinofrecidaporlosmediosdecontroladecuados.
Estasdecisionespuedenvariardesdeelconocimientodelareasquerecorrenciertaspersonashastalaextremodeevacuareledificioencasodeaccidentes.
Amenazaslgicas
Elpuntomsdbildeunsistemainformticosonlaspersonasrelacionadasenmayoromenormedidacon
l. Puede ser inexperiencia o falta de preparacin, o sin llegar a
ataques
intencionadospropiamente,simplementesucesosaccidentales.Peroque,encualquiercaso,hayqueprevenir.
Entrealgunosdelosataquespotencialesquepuedensercausadosporestaspersonas,encontramos:
Ingeniera social: consiste en la manipulacin de las personas
para que voluntariamenterealicenactosquenormalmentenoharan.
ShoulderSurfing:consisteen"espiar"fsicamentealosusuariosparaobtenergeneralmenteclavesdeaccesoalsistema.
Masquerading:consisteensuplantarlaidentidaddeciertousuarioautorizadodeunsistemainformticoosuentorno.
Basureo:consisteenobtenerinformacindejadaenoalrededordeunsistemainformticotraslaejecucindeuntrabajo.
Pg.16de18
-
Actos delictivos: son actos tipificados claramente como delitos
por las leyes, como elchantaje,elsobornoolaamenaza.
Atacanteinterno:lamayoramenazaprocededepersonasquehantrabajadootrabajanconlos
sistemas. Estos posibles atacantes internos deben disponer de los
privilegio
mnimos,conocimientoparcial,rotacindefuncionesyseparacindefunciones,etc.
Atacante externo: suplanta la identidad de un usuario legtimo.
Si un atacante
externoconsiguepenetrarenelsistema,harecorridoel80%delcaminohastaconseguiruncontroltotaldeunrecurso.
Algunasamenazaslgicas
Lasamenazaslgicascomprendenunaseriedeprogramasquepuedendaarelsistemainformtico.Yestosprogramashansidocreados:
deformaintencionadaparahacerdao:softwaremaliciosoomalware(malicioussoftware)
porerror:bugsoagujeros.
Enumeramosalgunasdelasamenazasconlasquenospodemosencontrar:
1. Softwareincorrecto
Sonerroresdeprogramacin(bugs)ylosprogramasutilizadosparaaprovecharunodeestosfallosyatacaralsistemasonlosexploits.Eslaamenazamshabitual,yaqueesmuysencilloconseguirunexploityutilizarlosintenergrandesconocimientos.
2. Exploits
Sonlosprogramasqueaprovechanunavulnerabilidaddelsistema.Sonespecficosdecadasistemaoperativo,delaconfiguracindelsistemaydeltipoderedenlaqueseencuentren.Puedenhaberexploitsdiferentesenfuncindeltipodevulnerabilidad.
3. Herramientasdeseguridad
Puedeserutilizadaparadetectarysolucionarfallosenelsistemaounintrusopuedeutilizarlasparadetectar
esosmismosfallosyaprovecharparaatacarel
sistema.HerramientascomoNessus o Satan pueden ser tiles pero tambin
peligrosas si son utilizadas por
crackersbuscandoinformacinsobrelasvulnerabilidadesdeunhostodeunaredcompleta.
4. Puertastraseras
Duranteeldesarrollodeaplicacioneslosprogramadorespuedenincluir'atajos'enlossistemasdeautenticacinde
la aplicacin. Estos atajos se llamanpuertas traseras, y conellos
seconsiguemayorvelocidadalahoradedetectarydepurarfallos.Siestaspuertastraseras,unavezlaaplicacinhasidofinalizada,nosedestruyen,seestdejandoabiertaunapuertadeentradarpida.
5. Bombaslgicas
Sonpartesdecdigoquenoseejecutanhastaquesecumpleunacondicin.Alactivarse,lafuncinquerealizannoestarelacionadaconelprograma,suobjetivoesescompletamentediferente.
6. Virus
Secuenciadecdigoqueseincluyeenunarchivoejecutable(llamadohusped),ycuandoelarchivoseejecuta,elvirustambinseejecuta,propagndoseaotrosprogramas.
7. Gusanos
Programacapazdeejecutarseypropagarseporsmismoatravsderedes,ypuedellevarvirusoaprovecharbugsdelossistemasalosqueconectaparadaarlos.
Pg.17de18
-
8. CaballosdeTroya
LoscaballosdeTroyasoninstruccionesincluidasenunprogramaquesimulanrealizartareasqueseesperandeellas,
peroenrealidadejecutan funcionesconel objetivodeocultar
lapresenciadeunatacanteoparaasegurarselaentradaencasodeserdescubierto.
9. Spyware
Programas espaque recopilan informacinsobre unapersonao
unaorganizacinsin
suconocimiento.Estainformacinluegopuedesercedidaovendidaaempresaspublicitarias.Puedenrecopilarinformacindeltecladodelavctimapudiendoasconocercontraseaondecuentasbancariasopines.
10. Adware
Programasqueabrenventanasemergentesmostrandopublicidaddeproductosyservicios.Sesueleutilizarparasubvencionarlaaplicacinyqueelusuariopuedabajarlagratisuobtenerundescuento.Normalmenteelusuarioesconscientedeelloydasupermiso.
11. Spoofing
Tcnicasdesuplantacindeidentidadconfinesdudosos.
12. Phishing
Intentaconseguirinformacinconfidencialdeformafraudulenta(conseguircontraseasopinesbancarios)haciendounasuplantacindeidentidad.Paraelloelestafadorsehacepasarporunapersonaoempresadelaconfianzadelusuariomedianteuncorreoelectrnicooficialomensajerainstantnea,ydeestaformaconseguirlainformacin.
13. Spam
Recepcin de mensajes no solicitados. Se suele utilizar esta
tcnica en los
correoselectrnicos,mensajerainstantneaymensajesamviles.
14. Programasconejoobacterias
Programas quenohacennada, solo se reproducen rpidamente hasta
queel
nmerodecopiasacabaconlosrecursosdelsistema(memoria,procesador,disco,etc.).
15. Tcnicassalami
Roboautomatizadodepequeascantidadesdinerodeunagrancantidadorigen.Esmuydifcilsudeteccinysesuelenutilizarparaatacarensistemasbancarios.
Pg.18de18