1. INTRODUCCIÓN

¿Qué es seguridad?

Si nos remitimos al diccionario, nos encontramos con algunas definiciones:

*  (sustantivo femenino). Certeza, firmeza, confianza. Sin riesgo

*  (sust.) Dícese de las cosas ciertas, firmes y/o libres de peligro o riesgo. Estado de las cosas bajo protección

*  (lat. Securitis) Confianza, tranquilidad de una persona procedente de la idea de que no hay ningún peligro que temer

¿Qué es seguridad informática?

Conjunto de medidas para preservar las propiedades de los Sistemas de Información, que son 4: confidencialidad, integridad, autenticidad y disponibilidad.

Autenticidad

Se encarga de que el origen de los datos sea correcto. Esto, en el correo electrónico, es un desastre.

Confidencialidad

Secreto de datos, procedimientos

Técnicas:

*  Control de acceso al Sistema de Información.

*  Cifrado de datos: alteración de los datos para que el sujeto no entienda nada.

Integridad

Nos dice qué datos a los que accedemos no han sido modificados excepto por personas autorizadas.

Esta integridad puede ser atentada accidentalmente o voluntariamente. Por ejemplo, un disco duro roto es un problema de seguridad informática porque los datos del disco han sufrido una violación ajena al dueño de dichos datos.

Disponibilidad

Que los datos estén disponibles. Es la propiedad que más veces falla, pero es la que menos importancia tiene y puede que la más difícil de controlar.

Por ejemplo, no poder acceder a los datos del e-ujier por culpa de los exámenes prácticos de Sistemas Operativos. Si esto sucede en una empresa, puede hacerle perder dinero.

Puede ser atentada, la disponibilidad, por un ataque externo.

Algunos motivos del por qué de la problemática de la seguridad informática

*  Por la falta de una cultura informática (tiene una historia reciente).

*  Por la falta de una cultura en la seguridad informática.

*  Se torna muy dificultosa al involucrar: ética, política, derecho y sociedad.

*  Dificultad de “vender” la idea de seguridad.

*  El no dar acceso libre al documento de las políticas.

*  Falta de especialistas: Seguridad, Informática, etc.

*  Trabajo aislado de personas.

Arquitectura tecnológica de seguridad

Una arquitectura de seguridad debe preservar los siguientes conceptos, algunos que acabo de explicar:


Control de acceso

Los usuarios sólo tendrán acceso autorizado a datos y recursos necesarios para sus funciones.

Se pueden diferenciar dos ámbitos, uno, el control de accesos de los sistemas que es el que nos protege de la entrada de intrusos a nuestros sistemas, y otro, el control de acceso de los usuarios a la propia red local.

Técnicas:

*  Firewalls.

 

No repudio

Se trata de que un emisor de información no pueda negar el hecho de que la ha emitido. Está relacionado con la autenticidad.

Esto suele ser muy difícil de alcanzar, normalmente se deja en manos de la justicia.

Técnica:

*  Se consigue firmando el contrato por parte del emisor.

2. POLÍTICA DE SEGURIDAD

Auditoría

Revisar todos los procedimientos de seguridad que se han hecho por la empresa.

Es un procedimiento sistemático.

Política de seguridad

Declaración de intenciones, de alto nivel, que van a mantener la seguridad de un sistema de información. Esta declaración es poner las bases en materia de seguridad. Debe delimitar a los responsables.

Se refleja en un documento escrito el cual debe cubrir TODOS los aspectos de seguridad. Este documento debe ser lo más sencillo posible y debe adaptarse a nuestras necesidades.

Debe ir guiado por el sentido común, esta es la regla fundamental.

1. ¿Qué protegemos? Nuestros recursos y su valor informático: el hardware y, lo más importante, los datos.

Para ello evaluaremos los costes:

a)  Valor del Sistema Informático.

b)  Determinar el coste económico de las medidas de seguridad de protección del sistema informático.

c)   Evaluar los costes económicos de los medios necesarios para romper la seguridad del sistema. Se trata de una aproximación, es una evaluación especulativa.

Para que la seguridad sea coherente y los costes asumibles, se debe cumplir estas dos propiedades:

*  Coste de los medios para romper nuestra seguridad ha de ser mayor que el valor de los recursos informáticos que tengo.

*  Y, a su vez, el coste de los recursos informáticos que tengo, ha de ser mayor que el coste de la protección.

En resumen: (c) > (a) > (b)

2. Determinar las posibles amenazas y las vulnerabilidades de nuestro sistema de información.

VULNERAVILIDADES

a)  Física:

Posibilidad de que el sistema tiene de ser atacado físicamente, por alteración, robo o destrozo del sistema informático.

Contramedidas

à Cámaras de vigilancia

b)  Natural:

Grado en el que el sistema puede verse alterado por sucesos naturales, como un incendio, una inundación, terremotos…

Contramedidas

à Por ejemplo, para los incendios, medidas antiincendio, como extintores, detectores de humo.

c)   Hardware y Software:

Fallos y debilidades de los aparatos informáticos, como un fallo en el disco duro (el cabezal del dispositivo, a los tres meses, se estropea, por un defecto de fabricación). También son vulnerabilidades de este nivel el software que da errores, “bugs”, pudiendo afectar al acceso a los datos o a la integridad de las aplicaciones.

Contramedidas

à Servicio técnico de la empresa que proporciona el software, a nuestra disposición para detectar esos fallos y subsanarlos.

àel clustering, que consiste en una colección de discos interconectados que se comportan como un único disco virtual, con la diferencia del aumento de prestaciones y de las características de redundancia. La implementación más sencilla de un cluster es con dos servidores y el único propósito es garantizar la funcionalidad del conjunto; es decir, que si uno se cae el otro tome la responsabilidad, justo en el punto del proceso donde se produjo el fallo. Los clientes sólo notaran una demora de unos segundos mientras se regeneran los datos y, superado ese momento, el funcionamiento será el normal. El objetivo del clustering es minimizar las consecuencias de las caídas de los servidores por medio de una arquitectura que, al menos mantendrá un servidor activo ante cualquier fallo del resto de los componentes del sistema.

d)  Comunicaciones:

Ahora, debido a la proliferación de redes locales, intranets, la World Wide Web, etc., existe la posibilidad de que se vean vulneradas, por ejemplo, por culpa de un hacker que entra en nuestra base de datos a trabes de Internet.

Contramedidas

à Firewalls, administradores que supervisan las comunicaciones...

e)  Humana:

Es la más sutil de todas. Los usuarios pueden alterar la seguridad de nuestro sistema informático, las personas que están en contacto directo con nuestros sistemas informáticos, como los administradores, personas autorizadas, empleados… Teóricamente son las más controlables.

Contramedidas

à Por ejemplo, que dos personas a la vez tengan que introducir una password cada uno (utilizado en entornos militares).

à Otra posibilidad es que un usuario que disponga de una cuenta en nuestra base de datos provoque una vulnerabilidad. Una solución ante esto podría ser separar cada servicio en una máquina distinta, como tener el servidor de correo electrónico en una máquina y el servidor de cuentas en otra, no todo en una sola máquina (como es el caso de anubis.uji.es). Es importante para evitar estas vulnerabilidades no tener usuarios directos.

AMENAZAS (I)

Clasificadas desde el punto de vista del efecto que causan.

a)  Intercepción:

Cuando se consigue acceso a una parte del sistema sin autorización. Son difíciles de detectar porque se accede sin modificar los datos.

b)  Modificación:

Cuando alguien accede de manera no autorizada a una parte del sistema y además se modifican datos.

c)   Interrupción:

Puede ser indefinida o momentánea. Una interrupción del funcionamiento del sistema puede ser accidental, y entonces es difícilmente controlable. Este tipo de amenazas son las más frecuentes y las menos dañinas.

d)  Generación:

Cuando existe la posibilidad de añadir programas no autorizados. Es el caso, por ejemplo, de los virus.

AMENAZAS (II)

Clasificadas desde el punto de vista de su origen.

a)  Naturales

b)  Físicas

c)   Involuntarias:

Por descuido en el equipo, teniendo poco cuidado físico o de mantenimiento. Por ejemplo, dejar una password apuntada en un papel y no tener control sobre él.

d)  Intencionadas

Acciones de personas con la intención de “piratear” el sistema.

3. Determinar qué medidas usar para proteger nuestro sistema.

Ante estas amenazas y vulnerabilidades debemos presentar unas de seguridad, pero ¿cuáles?

*  Tenemos que limitarlas por su coste en función del coste de su información.

*  Si son muy extremas, el sistema se puede volver demasiado costoso, o complejo.


Para determinarlas haremos uso del siguiente esquema de anillos de protección:

 

 

Medidas FÍSICAS

*  Todos aquellos mecanismos que impiden el acceso no autorizado al sistema y lo protegen de los desastres.

*  Son medidas de tipo no informático.

Ejemplo:

Policías, cámaras, extintor, etc. También guardar las copias de las cámaras de seguridad en edificios distintos.

Medidas LÓGICAS

*  Relacionadas con el software y medidas organizativas.

Submedidas: (Control de acceso)

*  Relacionadas con las personas. Se trata de establecer las funciones de cada uno de los usuarios, como el tipo de acceso y a qué tienen acceso.

*  Clasificación de los usuarios en función de su tipo de acceso: el administrador, los desarrolladores, etc.

*  Se debe, también, determinar la responsabilidad del usuario y esto, es fundamental.

Medidas ADMINISTRATIVAS

*  Medidas que toman las personas responsables de la seguridad.

*  Requiere una explicación a los usuarios.

*  Determinar el acceso de los usuarios.

*  Planes de enseñanza a usuarios.

Medidas LEGISLATIVAS

*  Medias a posteriori.

*  Medidas disuasorias, en función de la legislación del momento.

Ejemplo:

El artículo 18.4 de la Constitución Española establece que "la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

Como consecuencia de este derecho fundamental y del artículo 9 de la LORTAD (Ley Orgánica 5/92) relativo al necesario desarrollo reglamentario de condiciones de seguridad que garanticen la confidencialidad e integridad de los datos de carácter personal, surge una nueva medida de control para garantizar el cumplimiento de estos preceptos. Se trata del Real Decreto 994/1999 de 11 de junio sobre medidas de índole técnico y organizativo que deben cumplir las empresas para evitar la posible alteración, pérdida, tratamiento o acceso no autorizado a los ficheros de datos de carácter personal.

Las medidas de seguridad objeto de este reglamento se aplicarán a ficheros automatizados de datos de carácter personal de los sectores públicos y privados (art. 2 de la LORTAD), distinguiendo tres niveles de seguridad (de menos a más seguridad) que deben aplicarse sobre cada fichero en función del tipo de datos que contengan.

*  Nivel de seguridad básico: todas las empresas que dispongan de ficheros que contengan datos de carácter personal (nombre, dirección postal, número de teléfono) deberán adoptar estas medidas.

*  Nivel de seguridad medio: ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y ficheros de solvencia patrimonial y crédito.

*  Nivel de seguridad alto: ficheros que contengan datos personales de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas.

4. Monitorizar la seguridad, mediante una auditoría continua y/o periódica.

Aquellas empresas cuyo tamaño así lo justifique deberían tener definida la función de Auditoría Interna asumida por personal de la propia empresa, con la responsabilidad de efectuar periódicamente revisiones con el objetivo de comprobar el cumplimiento de la normativa interna, especialmente en materia de seguridad, y de participar en la definición de los nuevos sistemas de información que se desarrollen e implanten, para asegurar la incorporación de elementos que faciliten su auditabilidad y control.

 

3. EJEMPLO DE UNA POLÍTICA DE SEGURIDAD

El objetivo del desarrollo de una política de seguridad es definir las expectativas del propio medio de acceso, del uso de la red y la definición de procedimientos para prevenir y responder a los incidentes contra la seguridad.

*  Considerar los objetivos de la organización.

*  Desarrollar conforme a las políticas generales, reglas y regulaciones ya implementadas.

*  Considerar las implicaciones de seguridad en un contexto global.

El desarrollo de una política de seguridad implica identificar las ventajas e inconvenientes, evaluar e implementar las herramientas y tecnologías disponibles para hacer frente a los riesgos y desarrollar una política de utilización. Además hay que añadir un sistema de auditoría que revise la red y el uso del servidor.

Identificación de las ventajas e inconvenientes

El primer paso para crear una buena política de seguridad es crear una lista de todas las cosas que se necesitan ser protegidas:

*  Hardware: CPUs, líneas de comunicación, impresoras, ...

*  Software: programas fuente, utilidades, programas de diagnóstico, sistemas operativos, programas de comunicación,...

*  Datos: durante la ejecución, almacenamiento, ...

*  Usuarios: personas con diferente nivel de acceso.

*  Documentación: de programas, hardware, sistemas, ...

*  Provisiones: papel, cintas, ...

Cálculo del riesgo

Se determina contestando a las siguientes preguntas:

*  ¿Qué necesitas proteger?

*  ¿De quién necesitas protegerlo?

*  ¿Cómo lo proteges?

Este es el proceso de examinar todos los riesgos y de ponderar los diferentes niveles de seguridad que quieres ofrecer. En este proceso hay que tomar decisiones de coste-efectividad de lo que quieres proteger.

Los posibles riesgos de una red pueden incluir:

*  Accesos no autorizados.

*  Servicios no disponibles que pueden incluir corrupción de los datos, virus, ...

*  Revelación de información confidencial que le pueda dar a alguien alguna ventaja particular como por ejemplo información sobre una tarjeta de crédito.

Esto permitirá la política a seguir en función de los esfuerzos que haya que gastar para proteger los recursos.

Definición una política para un uso aceptable

Se debe considerar lo siguiente: ¿A quién se le va a permitir el uso de los recursos? ¿Quién está autorizado para otorgar accesos y dar el visto bueno de su uso?

Para contestar a estas preguntas, se pueden seguir las siguientes políticas administrativas:

*  Políticas obligatorias: donde los accesos están permitidos en base a la clasificación de seguridad de los usuarios y de los recursos.

*  Políticas discrecionales, en el que el propietario de un recurso tiene el privilegio de dar acceso a otros usuarios. Hay varios sistemas para gestionar este tipo de política:

*  Sistema centralizado: un único usuario puede dar o restringir accesos.

*  Sistema jerárquico: una autorización central es responsable de asignar responsabilidades a otros administradores.

*  Sistema cooperativo: las autorizaciones especiales no deben de ser asignadas por un único usuario, sino que deben autorizarlo entre varios.

*  Sistema propietario: un usuario es propietario de los recursos que crea, y es él el que permite o deniega permisos sobre ese recurso.

*  Sistema descentralizado: el propietario de un recurso puede otorgar a otros usuarios el privilegio de administrador de ese recurso.

Otras cuestiones a tener en cuenta son: ¿Qué es un uso apropiado de los recursos?, ¿Cuáles son los derechos y responsabilidades de los usuarios?

Para resolver estas cuestiones habrá que ver:

*  Si se permite o no a los usuarios que compartan cuentas.

*  Cómo de secretas tienen que mantener sus claves los usuarios.

*  Cada cuanto tiempo deberían cambiar sus claves y que otras restricciones o requisitos necesita una clave.

*  Si se deben centralizar los backups o se debe dejar a cada usuario que realice los suyos.

*  La política de la empresa respecto al correo o a los grupos de discusión y la representación de la empresa en estas áreas.

*  Cuál va a ser la política sobre comunicaciones electrónicas: correos olvidados, ...

*  De quien va a ser la responsabilidad de definir esta política: de una persona o de un comité.

Auditorías y revisiones

Para ayudar a determinar si hay violaciones a la seguridad existen herramientas que están incluidas en los sistemas operativos. La mayor parte de ellos almacenan un montón de información en diferentes ficheros. Examinar éstos regularmente es la primera línea de defensa para detectar acceso de usuarios no autorizados al sistema.

*  Comparar la lista de accesos actuales con algún histórico de accesos. La mayor parte de los usuarios se suelen conectar a las mismas horas cada día. Una conexión fuera de la hora normal es el primer paso para sospechar.

*  Muchos sistemas mantienen registros de facturas para pagos. Facturas inusuales puede indicar un uso de alguien no autorizado.

*  Facilidades de ficheros de acceso al sistema. Por ejemplo el comando "syslog" en UNIX puede ver los intentos de conexión fallidos de un uso no autorizado.

*  Comandos del sistema operativo que listan los procesos de ejecución en ese momento para detectar programas no autorizados que han sido arrancados por un intruso.

*  Ejecutando varios comandos de monitorización a diferentes horas del día se puede hacer más difícil el acceso por parte de personas no autorizadas.

Comunicación a los usuarios

Una buena política de seguridad tiene que incluir un proceso de formalización que comunique la política a todos los usuarios. Además, es necesaria una buena campaña de educación.

Se les debería preparar para detectar usuarios no autorizados. Si el último acceso con tu clave no coincide con el que tú sabes que fue hay que avisar al administrador.

Una política de seguridad debe hacer un balance entre protección y productividad.

Respuestas ante una violación de la seguridad

Una vez que se descubre que se ha comprometido la seguridad del sistema y qué ésta se ha hecho por alguien de fuera de la organización, las estrategias pueden ser dos tipos, de tipo opuesto:

"Proteger y Proceder" cuya primer objetivo a conseguir es la protección y preservación de las facilidades y proporcionar la normalidad a todos los usuarios lo más rápido posible. Este proceso incluye la denegación de las facilidades cerrando el acceso a la red u otras medidas drásticas.

La otra medida alternativa es la de "Perseguir y Demandar" que adopta la filosofía contraria. El primer objetivo es permitir a los intrusos a que continúen con sus actividades hasta que se les localice e identifique.

Cuándo seguir una estrategia u otra:

Estrategia de "Proteger y Proceder"

*  Si los recursos no están bien protegidos

*  Si el dejar que continúe la penetración puede resultar un riesgo financiero grave.

*  Si la posibilidad de procesar al culpable no es posible

*  Si el usuario es desconocido

*  Si los usuarios no son muy expertos y su trabajo es vulnerable

Estrategia de "Perseguir y Demandar"

*  Si los recursos están bien protegidos

*  Si existen buenos backups.

*  Si el futuro de la empresa depende en gran medida a intromisiones presentes y futuras

*  Si los ataques ocurren con gran frecuencia

*  Si el lugar tiene una atracción natural a los intrusos o atacantes

*  Si se puede controlar el acceso del intruso

*  Si las herramientas de monitorización están lo suficientemente desarrolladas para su captura.

Aprendiendo de una intromisión

Un registro de la seguridad puede ser muy útil para evitar las vulnerabilidades del sistema. Esto incluye procedimientos de comandos que se pueden ejecutar periódicamente. Guardar los registros de los importantes eventos del sistema.

Después de un incidente es prudente escribir un informe del incidente, del método de descubrimiento, de los mecanismos de corrección, del procedimiento de monitorización, y un resumen de la lección aprendida.

 

4. PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD INFORMÁTICA

Y a modo conclusión, definición de una serie de reglas básicas a tener en cuenta a la hora de diseñar un sistema de seguridad e intentar cumplir dichas medidas.

Principio del menor privilegio

*  Es un principio fundamental.

*  Cualquier objeto de un sistema debe tener sólamente aquellos privilegios necesarios para desarrollar sus tareas y nada más.

*  Dirigido al usuario.

La seguridad no se obtiene de la oscuridad

*  No tendremos mayor seguridad escondiendo nuestras vulnerabilidades, cuando éstas sean descubiertas, podemos sufrir un ataque al sistema.

*  La seguridad la obtendremos gracias a las contramedidas.

El eslabón más débil

*  La seguridad es una cadena, una serie de medidas de seguridad.

*  Su eslabón más débil marca el nivel de seguridad del sistema.

Principio del punto de control centralizado

*  Cualquier acceso al sistema debe pasar por un punto de control.

Principio de participación universal

*  Todos los usuarios deben participar en la protección del sistema.

Defensa en profundidad

*  Colocar barreras, una detrás de otra.

*  A más barreras, más seguridad.

Principio de simplicidad

*  Cuanto más simple sea el sistema, mejor (y no por ello menos seguro).

5. BIBLIOGRAFÍA

*  Apuntes de las clases teóricas de Seguridad y Protección de la Información, impartidas por el profesor Manuel Mollar.

*  Página web de la Escola Superior de Enxeñería Informática ( Universidade de Vigo ).

*  Página web de la Asociación Española de Usuarios de Internet.

*  Página web www.monografias.com