Tema 1:Conceptos básicos sobre criptografía.
Objetivos en la seguridad informática:
-
Confidencialidad: la información debe ser privada. Se consigue
mediante la restricción del acceso y mediante la criptografía.
-
Integridad: mantener la información en buen estado, es decir
no ser modificada por quien no debe y mantenerla bien (que no se borren
sectores del archivo).
-
Disponibilidad: datos siempre disponibles sin que haya desbordamiento.
-
Autenticidad: establecer con seguridad el origen de la información.
El no repudio es que la persona que recibe o modifica la información
no puede negar que lo ha hecho.
Generación de un sistema de seguridad:
Una política de seguridad
es un conjunto de normas y directrices que deben estar escritas y deben
estar publicadas sobre medidas de seguridad.
Análisis de riesgo es cuantificar
la pérdida económica que supone la destrucción o que
otro vea la información que estamos protegiendo así como
los riesgos a que esta sometido. Este coste debe ser mayor que el coste
del propio sistema de seguridad y el sistema de seguridad debe ser menor
al coste que supone saltarse las medidas de seguridad, si no es así
el sistema no esta bien construido.
Hay dos tipos de politicas de seguridad:
-
Abierta
-
Cerrada
Vulnerabilidad:
Es cualquier acción que puede dañar
un sistema y puede ser tanto interno (dependiente del sistema) o externo
(por ejemplo el edificio que guarda el sistema).
Se puede clasificar en los siguiente apartados:
-
Física: referente al soporte físico (edificio, entorno
del sistema,…).
-
Natural: desastres naturales (incendios, terremotos,…).
-
Por hardware: dispositivos del sistema.
-
Por software: errores de programación (bugs).
-
Comunicaciones: es la más grave y es debido a que todos
los orde-nadores estan conectados entre sí.
-
Humana: es la más controlable y la que puede ser más
peligrosa. Pue-de ser intencionada o involuntaria.
-
Usuarios: pueden causar daños por mala utilización
(apagar incorrectamente, borrar archivos del sistema,…).
Amenaza:
Es el agente que va a atacar el punto débil
del sistema. Existen dos clasificacio-nes.
Clasificación según el efecto sobre
el sistema atacado:
-
Intercepción: es el acceso del agente a una zona donde no
debería te-ner acceso.
-
Modificación: es el cambio de la información del sistema
por el agente y requiere brevemente intercepción.
-
Interrupción: interrumpir el funcionamiento del sistema (apagando
la máquina por ejemplo).
-
Generación: añadir código o introducir datos
falsos (virus).
Clasificación según el origen:
Físicas / naturales
Involuntarias
Voluntarias o intencionada
Contramedidas:
Son técnicas de protección contra
amenazas. Las contramedidas por capas se enumeran:
-
Medidas físicas: son aquellas que impiden el acceso físico
al ordenador.
-
Medidas lógicas: se refiere a controlar el acceso a los recursos
del sistema.
-
Medidas administrativas: definición de una política
de seguridad que todos conozcan y que este debidamente publicada
-
Medidas legales
Estas medidas estan pensadas para que cuando falle una
este la otra para proteger la información
Ideas para diseñar un sistema de seguridad:
-
Principio del menor privilegio: establece que cualquier objeto (programa,
usuario,…) debe tener el privilegio de usos y acceso que necesita.
-
La seguridad no se obtiene a través de la oscuridad:
esto es que la protección de la información no se obtiene
ocultando porque sino alguien pudiera encontrarlo y entrar en nuestro sistema.
-
Principio del eslabón más débil: esto es que
si todo el sistema esta protegido menos una pequeña porción
no sera un sistema seguro porque mediante esa porción accederan
a ese sistema (la cadena siempre se rompe por el eslabón más
débil).
-
Defensa con profundidad: mecanismos sucesivos de seguridad para
evitar que con una barrera violada puedan acceder al sistema.
-
Que exista seguridad incluso en caso de fallo.
-
Participación universal: esto es que la seguridad del sistema
no depende solo del administrador del sistema sino también de los
usuarios, que si encuentran un fallo deben comunicarselo al administrador.