Medidas para preservar ciertas propiedades del sistema
informático
Confidenciabilidad: Control de acceso y cifrado
de datos. Dos técnicas utilizadas: restringir el acceso y criptografia.
Integridad de los datos: Los datos solo son
modificados por personas autorizadas.
Autenticidad: El origen de la información
debe poder demostrarse.
Disponibilidad: La información debe
ser accesible siempre que se necesite. Causas posibles de no disponibilidad:
Ataques externos...
Condeptos básicos relacionados con la seguridad
No repudio: Un emisor de información
no puede negar que haya enviado información.
Auditoria: Revisión de los procesos
de seguridad que se han realizado en una determinada organización.
Política de seguridad: Declaración
de intenciones, de alto nivel, orientadas a mantener la seguridad de un
sistema
informático. Se refleja
en un documento y en este debe estar toda la información. la política
va guiada por una regla
fundamental: el sentido
común.
Hay que determinar en la pólitica de seguridad:
Recursos a proteger y su
valor.
Evaluar el coste de intentar
saltar las medidas de seguridad (el asaltante no gastará más
dinero para romperlas que el
valor de la información a robar)
Amenazas al sistema informático
y vulnerabilidades.
Definiciones básicas
Vulnerabilidad: Son los puntos débiles
que el sistema informático puede tener, tanto del puento de vista
de un fallo o
de un ataque.
Amenaza: Cualquier peligro (persona, programa
o suceso natural) que puede afectar al sistema informático.
Contramedida: Técnicas de protección
especificas contra amenazas.
Para que todo funcione bien hay que determinar las
vulnerabilidades y amenazas al sistema informático para aplicar
las
contramedidas.
Las amenazas aprovechan las vulnerabilidades y las
contramedidas eliminan las amenazas.
Clasificación de las vulnerabilidades
Física: Acciones físicas contra
los sistemas informáticos (robos, daños...). Contramedidas:
antirobo, policias...
Naturales: Acciones por fuerzas naturales
(fuego, terremotos...). Contramedida: antiincendios (extintores...).
HW y SW: Problemas de los dispositivos y
debilidades por errores de programación (bugs).
Comunicaciones: Problemas generados por entrada
de virus o hackers. Contramedida: antivirus, firewalls...
Humana: El sistema es administrado por una
persona en la que recae toda la confianza, pero usuarios pueden causar
daño de forma involuntaria
o intencionada.
Usuarios: Presencia de usuarios que pueden
tener demasiado acceso a los sistemas informáticos.
Clasificación de las amenazas
Según el efecto que causan:
Intercepción:
Se consigue acceso a una parte del sistema informático sin autorización.
Modificación:
Se accede a una parte del sistema informático pudiendo modificar
su contenido.
Intercepción:
Interrumpir momentaneamente o indefinidamente el sistema informatico.
Amenaza la disponibilidad del
sistema.
Generación: Cuando
existe la posibilidad de añadir información no autorizada
en el sistema informático, como
por ejemplo un virus.
Según el origen:
Naturales o físicas:
Desastres naturales o condiciones medioambientales.
Involuntarias: Producidas
por usuarios o administradores (dejarse passwords en papeles...)
Intencionadas: Producidas
por hackers, ladrones o vandalos.
Clasificación de las contramedidas
Físicas: Todos aquellos mecanismos
que protejan al sistema informático de entradas no deseables o de
robos.
Ejemplo: policias o copias
de seguridad en distintos edificios.
Lógicas: Para controlar accesos a
los recursos (criptografía, copias de seguridad...)
Administrativas: Medidas tomadas por las
personas responsables de la seguridad. Definicion de una política
de seguridad.
Legales: Medidas que se aplican despues de
ocurrir un suceso.
Principios fundamentales de la seguridad informática
Del menor privilegio: Cualquier objeto de
un sistema debe tener solamente aquellos privilegions necesarios para poder
desarrollar sus tareas y
ninguna más.
La seguridad no se obtiene de la oscuridad:
Nos e puede obtener seguridad a base de esconder vulnerabilidades, estas
se protegen con contramedidas
no con secretos.
El eslabón más débil: La
robustez del sistema de seguridad corresponderá a la medida de protección
más débil.
Punto de control centralizado: Cualquier
acceso al sistema informático debe pasar por un punto de control.
Partición universal: En la seguridad
se requiere la participación de todos los usuarios.
Defensa en profundidad: Consiste en establecer
mecanismos de seguridad en cadena para preveer la posibilidad del
fallo de algunos de ellos.
Simplicidad: Las cosas contra más
simples mejor. Ejemplo: Si un programa se puede hacer en 2 lineas mejor
que si se
hace en 100 porque a la
larga causará problemas.