Portada » Informática » Clasificación de la seguridad
1) Seguridad informática ¿por qué?Es una disciplina que contiene todas las técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidadde la información de un sistema informático y sus usuarios ante amenazas, minimizando los riesgos que pudiera sufrir para garantizar su confidencialidad, integridad y disponibilidad. Esto permite que se eviten daños y problemas ocasionados por intrusos. Tendremos que considerar los aspectos de seguridad: 1-Conocer el peligro; 2-Clasificarlo; 3-Protegerse de la mejor manera posible
Las empresas disponen de equipos conectados a internet. Cualquier fallo supone una pérdida de dinero por lo que es muy importante asegurar un correcto funcionamiento de los sistemas y redes informáticas. Con buenas políticas de seguridad, tendremos a nuestros sistemas más seguros. Tenemos que tener un nivel de seguridad razonable y estar preparados, por si se producen ataques, haber realizado copias de seguridad.
Los 3 principios básicos son: 1-Acceso más fácil: El intruso usará el artilugio que haga más fácil el ataque. Puede ser externo o interno, lo que dificulta el análisis del riesgo ya que el atacante irá al punto más débil.; 2-Caducidad del secreto: Los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor. Esto nos lleva a fortalecer el sistema de cifrado.; 3-Eficiencia de las medidas tomadas: Que sean efectivos, es decir, que funcionen en el momento oportuno; Eficientes, que optimicen los recursos del sistema; Apropiadas, que pasen desapercibidas para el usuario; Lo más importante es que ningún sistema de control resulta efectivo hasta que debemos usarlo. 2) Objetivos de la seguridad informática: La seguridad de la información se caracteriza por la preservación de: Confidencialidad: asegura que el acceso a la información está adecuadamente autorizado.Consiste en la capacidad de garantizar que la información, almacenada en el sistema o transmitida por la red, solo estará disponible a las personas autorizadas para acceder a ellas.Se dice que un documento es confidencial si solo lo comprende la persona o entidad a quien va dirigida o autorizada.
Integridad: salvaguarda la precisión y completitud de la información y sus métodos de proceso. Refleja la capacidad de garantizar que los datos no han sido modificados desde su creación sin autorización y permite comprobar que no se ha producido manipulación en el documento original. Disponibilidad: asegura que los usuarios autorizados pueden acceder a la información cuando la necesitan.Capacidad de garantizar que el sistema y los datos que se manejan estén disponibles, accesibles y utilizables por los usuarios autorizados cuando estos quieran.No repudio: garantiza la participación de las partes en una comunicación. El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticación permitiendo probar la participación en una comunicación. Existen dos posibilidades: -NO REPUDIO EN ORIGEN: el emisor no puede negar el envío y el destinatario tiene pruebas del envío.-NO REPUDIO EN DESTINO: el receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción.
Seguridad informática son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los Sistemas de Información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican.
Para conseguir estos objetivos se usan los siguientes mecanismos:-Autenticación: permite identificar al emisor de un mensaje, al creador de un documento o al equipo que se conecta a una red o servicio. Aplica una verificación de la integridad de un usuario, que se produce cuando el usuario aporta algún dato que verifique que la persona es quien es.-Autorización: controla el acceso de los usuarios a zonas restringidas, a distintos equipo y servicios después de haber superado el proceso de autenticación.-Encriptación: mecanismo que permite ocultar la información transmitida por la red o almacenada en los equipo, que la hacen ilegible a intrusos que accedan a ella. Realización de copias de seguridad e imágenes de respaldo. –Antivirus; aplicación o grupo de aplicaciones dedicadas a prevenir, buscar, detectar y eliminar los programas malignos.
–Cortafuegos o firewall: programa que evita los intentos de conexión no deseados, desde el equipo a la red y viceversa.-Servidores proxys: ordenadores o dispositivos con software especial, que intermedian entre la red interna y la externa.-Utilización de firma electrónica o certificado digital: mecanismos que garantizan la identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la firma de documentos. Esta, si está reconocida, tiene el mismo valor legal que la escrita. –Conjunto de leyes: encaminadas a la protección de datos personales que obligan a las empresas a asegurar su confidencialidad.3) Clasificación de seguridad Seguridad física:Barreras físicas y mecanismos de control en el entorno de un sistema informático, destinado a proteger los elementos hardware ante amenazasfísicas. Esta se complementa con la seguridad lógica. Ejemplos: -Cerrar con llave la sala de ordenadores-Tener una red contra incendios adecuada para incendios (mobiliario ignifugo, evitar que las unidades de procesamiento de datos estén cerca de sustancias inflamables o explosivas,sistemas antiincendios,detectores de humo, rociadores de agua, extintores, etc., que sofoquen el incendio) -Cámaras de seguridad -Vigilancia humana -Control permanente del sistema eléctrico, ventilación, etc.Seguridad lógica: Hace referencia a la seguridad en el uso de software y los sistemas, la protección de datos, procesos y programas, además del acceso ordenado y autorizado de los usuarios a la información. Incluye los siguientes mecanismos: -Restringir el acceso a programas y archivos mediantes claves. -Asignar limitaciones a cada usuario del sistema informático. -Asegurarse que los archivos y programas empleados son los correctos y se usan correctamente. -Control de los flujos de E/S de la información; Los controles se pueden ralizar a nivel de SO, aplicación, base de datos o archivo o firmware. La seguridad lógica complementa a la física, protegiendo el software de los equipos informáticos (aplicaciones y datos). Las amenazas pueden ser: robos, pérdida de información, pérdida de integridad en la información, virus, ataques desde la red ó modificaciones no autorizadas.
Seguridad Activa
Conjunto de elementos de protección cuyo objetivo es evitar y reducir los riesgos que amenacen al sistema.
Las recomendaciones más comunes son:
*Utilizar usuarios que no sean administradores. *Utilizar contraseñas fuertes. *Realizar copias de seguridad periódicas. *Antivirus actualizado. *S.O. actualizado con parches de seguridad. Hoy existen programas que pueden revisar nuestro sistema y avisarnos de los parches más importantes que necesite el sistema. *Sentido común. *Tener siempre un usuario auxiliar. *No abrir links desconocidos que vengan de emails desconocidos, son una fuente de infección asegurada. *Cuidado con las descargas y programas de prueba de dudosa procedencia, llenos de spyware, toolbars y publicidad. *Cuidado con los archivos VBS, scripts y ejecutables en genera.
Otras técnicas son: *Uso de contraseñas *Listas de control de acceso *Encriptación *Uso de software de seguridad informática *Firma y certificados digitales *Sistemas de ficheros con tolerancia a fallos *Cuotas de disco Seguridad Pasiva Conjunto de medidas/mecanismos que se añaden al sistema cuando ya se ha producido el ataque, que tratan de minimizar el impacto y activar mecanismos de recuperación del mismo. Las técnicas más importantes son:
–Conjunto de discos redundantes: restaurar información que no es válida. –SAI: cuando la corriente se pierde, las baterías del SAI funcionan proporcionando corriente para que funcione. –Realizar copias de seguridad: si perdemos la información podremos restaurarla sin contratiempos.
Amenazas y fraudes en los sistemas de la información
El objetivo de la SEGI es proteger todo lo que la empresa tiene, denominado activo, que es tanto el mobiliario, los equipos y los datos que se manejan. Cualquier daño producido tiene un impacto en la empresa. Se pueden agrupar en: -Hardware -Software -Datos -Otros: fungibles, personas, etc
Actualizaciones para mejorar la seguridad -Identificar los activos que se desean proteger. -Formación de los trabajadores en cuanto a materias de seguridad. -Concienciación de la importancia de la seguridad informática para los trabajadores de la empresa. -Evaluar los riesgos. -Diseñar el plan de actuación que debe incluir:
-Medidas que traten de minimizar el impacto de los daños ya producidos. (Seguridad pasiva) -Las medidas que traten de prevenir los daños minimizando la existencia de vulnerabilidades. (S. Activa)
-Revisar periódicamente las medidas de seguridad adoptadas y adecuarlas a la situación y necesidades de nuestro sistema en cada momento.
Vulnerabilidades: Debilidad de cualquier tipo que compromete la seguridad del sistema informático. Hay tres tipos de vulnerabilidades:
-Ya conocidas sobre aplicaciones o sistemas instalados. -Conocidas sobre aplicaciones no instaladas. -Aún no conocidas.
Empresas como Microsoft disponen de departamentos dedicados a la seguridad. Evaluan los informes de los clientes sobre posibles vulnerabilidades, preparando y divulgando revisiones y boletines de seguridad. Según su gravedad se clasifican en: –Crítica: puede permitir la propagación de un gusano de internet. –Importante: puede poner en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios o de los recursos de procesamiento. –Moderada: se puede reducir el impacto en gran medida con factores como configuraciones predeterminadas o auditorías. –Baja: vulnerabilidades difíciles de aprovechar y el cuál su impacto es mínimo.
Amenazas de Seguridad. Tipos. Amenaza es el escenario en el que una acción o suceso, deliberado o no, compromete la seguridad de un elemento del sistema informático. Cuando se detecta una vulnerabilidad y no existe una amenaza asociada, puede ocurrir que el suceso se produzca y nuestro sistema estará en riesgo.
Si se produce el riesgo, el sistema informático sufrirá daños que habrá que valorar cualitativa y cuantitativamente, a esto se le llama “impacto”.
.
Para disminuir el impacto producido, debemos proteger el sistema mediante defensas o salvaguardas Las amenazas más destacadas son:
–Amenazas software: software malintencionado, virus, espías, troyanos, gusanos, etc.
–Amenazas físicas: robos, incendios, catástrofes naturales, etc.
–Amenazas humanas: pueden estar incluidas en las dos anteriores, se pueden englobar en 2 tipos:
-Intrusos, como piratas informáticos.
-Fallos humanos de los propios usuarios del sistema informático.
Los diferentes atacantes pueden ser:
–Hackers: expertos informáticos con gran curiosidad por descubrir vulnerabilidades pero sin motivación económica o dañina. –Crackers: es un hacker que si lo usa para fines económicos o dañinos. –Phreakers: crackers telefónicos, que sabotean las redes de telefonía para conseguir llamadas gratuitas. –Sniffers: analizan el tráfico para obtener información extrayéndola de los paquetes que se transmiten por la red. –Lammers: personas jóvenes sin conocimientos que se consideran hackers. –Newbie: hacker novato. –Ciberterrorista: experto en informática e intrusiones en la red que trabajan para países y organizaciones espía y saboteadores informáticos. –Programadores de virus: crean programas dañinos que producen efectos no deseados en los sistemas o aplicaciones. –Carders: personas dedicadas al ataque de los sistemas de tarjetas, como cajeros automáticos.
Principales ataques que puede sufrir un sistema:
–Interrupción: recurso del sistema a la red que deja de estar disponible por un ataque. –Intercepción: un intruso accede a la información de nuestro equipo o a lo que enviamos por la red. –Modificación: información modificada sin autorización, por lo que no es válida. –Fabricación: se crea algo que puede robar información confidencial del usuario.
La clasificación de las amenazas sería:
–Spooling: suplanta la identidad de un PC o algún dato. –Sniffing: monitoriza y analiza el tráfico de la red para obtener información. –Conexión no autorizada: buscan agujeros de la seguridad de un equipo o servidor, y se conectan a ellos. –Malware: se introducen programas malintencionados en nuestro equipo. –Keyloggers: herramienta que permite conocer todo lo que el usuario escribe e incluso realizar capturas de pantalla. –Denegación de servicio: interrumpe el servicio que se ofrece en servidores o redes de ordenadores. –Ingeniería social: se obtiene información confidencial de una persona u organismo para usarla de forma malintencionada.-Phishing: engaña al usuario para obtener su información confidencial suplantando la identidad de un organismo o página web de internet.
Mecanismos de Seguridad
–Mecanismos software o lógicos: cortafuegos, antivirus, antispam, etc.
–Mecanismos hardware o físicos: SAI, extintores, cámaras de seguridad, etc.
Para los equipos conectados a la red, debemos:
–No instalar nada que no sea necesario en los servidores. -Actualizar todos los parches de seguridad. -Formar a los usuarios del sistema para que hagan un buen uso. -Instalar un firewall. -Mantener copias de seguridad. -Gestionar y revisar los logs del sistema. -Sentido común y experiencia previa del administrador.
Leyes relacionadas con la seguridad de la información
Normativa que protege los datos personales
La ley de protección de datos de carácter personal es supervisada por la Agencia Española de Protección de Datos.
Su objetivo es garantizar y proteger los derechos fundamentales y la intimidad de las personas físicas.
Establece una serie de obligaciones para la protección de los datos contenidos en ficheros automatizados que poseen empresas y administraciones públicas. Se resume en:
–LEGALIZAR: todos los ficheros personales deben estar inscritos y legalizados ante la AEPD. –LEGITIMAR: los datos personales recogidos por la empresa deben contar con el consentimiento del afectado y cumplir con unos principios básicos:
1-Principio del consentimiento del afectado
2-Principio de información, el empresario debe:
1-Avisar de la existencia de un fichero al que se incorporarán los datos solicitados
2-Del carácter obligatorio o facultativo de consignar determinados datos.
3-De las consecuencias de la obtención de los datos.
4-De la posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación u oposición al tratamiento de los datos.
5-De la identidad y dirección del responsable del tratamiento o de su representante.
3-Principio de calidad de los datos: los datos se recogerán para una finalidad y no podrán ser destinados por el responsable del fichero a otras finalidades. Derechos reconocidos por la ley: Acceso, Modificación, Oposición y Cancelación.
Medidas de Seguridad: cuando se solicita la aprobación de la Agencia de protección de datos debemos especificar los que contendrá el fichero y el nivel de seguridad que se aplicará:
–Básico: los datos de carácter personal tienen que tener como mínimo este nivel. –Medio: se refieren a infracciones, gestión tributaria, datos fiscales y financieros y/o datos que proporcionan información sobre características o personalidades. –Alto: ideología, afiliación sindical, religión, creencias, raza, salud, o vida sexual.
Legislación sobre los servicios de la sociedad de la información y comercio electrónico (LSSI-CE)
Regula todo lo relativo a la contratación por vía electrónica y las comunicaciones comerciales por vía electrónica y las comunicaciones comerciales. (Compras y comercio por internet). Algunos aspectos importantes son:
-Las empresas afectadas están obligadas a proporcionar información sobre sus productos. -Exculpa de responsabilidad, si no tienen conocimiento de la información de sus servidores. -Establece la validez de los contenidos realizados electrónicamente.
Ley sobre Normas Reguladores de Firma electrónica
Fue aprobado para fomentar la incorporación de nuevas tecnologías. Regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación.
“Se denomina prestador de servicios de certificación la persona física o jurídica que expide certificados electrónicos o presta otros servicios en la relación con la firma digital”
“La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”.
¿Cómo funciona la firma electrónica?
El emisor obtiene un resumen del mismo a través de una función hash. Se aplican a bloques de cualquier tamaño y crean un resultado fijo y pequeño. El resumen obtenido se cifra con clave privada del firmante y se obtiene la firma electrónica del documento.
Funciones principales que ofrece la firma electrónica
-Identificación del firmante -Integridad del contenido firmado -No repudio del firmante
Ley sobre Normas Reguladoras del DNI electrónico
-Acreditar electrónicamente y de forma real la identidad de la persona -Firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica equivalente a la que les proporciona la firma manuscrita.
Podemos usar el DNIe para:
-Realizar compras -Hacer trámites completos con administraciones públicas. -Realizar transacciones seguras con bancos -Acceder al edificio donde trabajamos -Utilizar de forma segura nuestro ordenador personal -Participar en una conversación por internet con la certeza de que nuestro interlocutor es quien realmente es