Tema 1 - Definición de información y Seguridad PDF
Document Details
Uploaded by Deleted User
Tags
Summary
Este documento introduce los conceptos básicos de seguridad informática en entornos empresariales y describe la información como un activo importante que requiere protección. Explica los conceptos de confidencialidad, integridad, disponibilidad, autenticidad y no repudio, así como las diferentes medidas de seguridad activa y pasiva.
Full Transcript
Definición de información En el entorno empresarial, se define información como el activo que posee valor para una organización y requiere, por tanto, de una protección adecuada para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones...
Definición de información En el entorno empresarial, se define información como el activo que posee valor para una organización y requiere, por tanto, de una protección adecuada para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. Definición de seguridad La seguridad informática es el conjunto de herramientas, técnicas, dispositivos y procedimientos orientados a conseguir, mejorar o garantizar determinados niveles de confidencialidad, disponibilidad, integridad, autenticidad y/o no repudio de la información con la que trabaja un sistema informático. NOTA: Podemos encontrar estas definiciones en la norma ISO 27002, que tiene su traducción al español en la norma UNE-ISO/IEC 17799. ¿Qué debemos proteger? Confidencialidad (o privacidad): La confidencialidad es la garantía de que ña información sea accesible solo por aquellos usuarios o sistemas autorizados. Ejemplo: cifrar un archivo con contraseña que solo conocen unos pocos usuarios. Integridad (o confiabilidad) La integridad es lograr que la información sea la misma desde que fue generada, es decir, que no se haya manipulado o corrompido. Ejemplo: generar un código hash para una archivo de datos. Implantar un sistema de copias de seguridad periódicas. Disponibilidad (o accesibilidad) La disponibilidad es conseguir que aquellos usuarios o sistemas con privilegios para acceder a la información puedan realizarlo sin ningún problema durante los periodos de tiempos establecidos Ejemplo: Implantar un Sistema de Alimentación Ininterrumpida (SAI). Autenticidad La autenticidad asegura la identidad del equipo o usuario que genera la información. En ocasiones se utilizan terceras partes confiables (Autoridad de Certificación) para autenticar. Ejemplo: Firma digital de un fichero. No repudio El no repudio es generar un mecanismo que permita que ninguno de los participantes de una comunicación niegue su participación en la misma. Existen dos tipos: NO repudio en el origen: el usuario o sistema que envía un mensaje no puede negar que lo mandó, pues el receptor tiene mecanismos para demostrarlo: Ejemplo: un mensaje firmado digitalmente por el emisor. NO repudio en el destino: el usuario o sistema que recibe un mensaje no puede negar que lo recibió, pues el emisor tiene mecanismos para demostrarlo. Ejemplo: un mensaje firmado digitalmente por el emisor. Para conseguir el no repudio se cuenta en ocasiones con terceras partes confiables (Autoridad de Certificación). El no repudio en el origen y la autenticidad son objetivos estrechamente relacionados. Tipos de seguridad La seguridad informática se puede clasificar según dos criterios: Dependiendo del momento en que se aplique: ◦ Seguridad activa ◦ Seguridad pasiva Dependiendo de la naturaleza de los componentes a proteger: ◦ Seguridad física ◦ Seguridad lógica Seguridad activa La seguridad activa es aquella que se centra en prevenir o evitar daños a los sistemas informáticos en conjunto, ya sea de hardware o de software o de red. Los mecanismos más habituales relacionados con la seguridad activa son por ejemplo los antivirus, los controles de acceso a salas de servidores, la encriptación de la información, los sistemas de redundancia de hardware, etc. En definitiva, hablaremos de seguridad activa cuando usamos medios para ser proactivos ante posibles amenazas. Seguridad pasiva La seguridad pasiva, no es lo contrario a la seguridad activa, es un complemento que entra en marcha cuando las medidas de seguridad activa no han sido suficientes para frenar una amenaza. Un ejemplo claro es el tema de las copias de seguridad. Realizar copias de seguridad es poner en marcha una seguridad activa, ya que nos anticipamos al riesgo de perder información. Sin embargo, el recuperar un fichero de una copia de seguridad, pasa a ser seguridad pasiva. Esto es, así pues, una vez producido el daño, ponemos los medios para subsanarlo. Hablamos en este caso de que en la seguridad pasiva somos reactivos ya actuamos cuando ya se ha producido el daño. Seguridad física La seguridad física se refiere básicamente a la protección de todos nuestros elementos desde el punto de vista de posibles desastres naturales como incendios, terremotos o inundaciones, así como también de otras amenazas externas como puede ser robo, problemas eléctricos, etc.… Las diferentes medidas que se suelen tomar pasan por adecuar el espacio dedicado al HW de forma que las amenazas mencionadas queden mitigadas lo máximo posible. La idea es ubicar nuestros servidores en salas o Centro de Datos con medidas de seguridad adecuadas que impidan o minimicen los daños que puedan causar las amenazas mencionadas. En el caso del puesto de trabajo, protegeremos los equipos para evitar sobre todo robos y descargas eléctricas. Seguridad lógica La seguridad lógica, sin embargo, se encarga de proteger todo lo relacionado con el software o la información contenida en los equipos. Complementa perfectamente a la seguridad física mediante el uso de antivirus, encriptación de la información, ataques de hackers externos y otros mecanismos para la protección y privacidad de la información de cada usuario de la red. Tipos de amenazas Los tipos de amenazas los podemos clasificar en tres: Amenazas producidas por personas Amenazas lógicas Amenazas físicas Amenazas producidas por personas Son la principal fuente de amenaza para un sistema, Personal de la organización, Ex- empleados, Curiosos, Hackers, Crackers, Ciberterrorista, Sniffers, Carders. Personal de la organización: A veces amenaza de forma accidental, pero si lo hace de forma intencionada es muy dañino, pues es quien mejor conoce lo que es valioso para la empresa y quien mejor puede conocer la infraestructura y el equipamiento. Ex-empleados: En numerosas ocasiones aprovechan la falta de mantenimiento de las organizaciones, que no siempre mantienes actualizados los perfiles de acceso a sus sistemas. Un ex-empleado tiene una motivación extra al amenazar un sistema. Curiosos: Personas que, en general, realizan ataques pasivos (Obtener información sin destruir o modificar la original). Hackers: Aunque no siempre lo hacen con un objetivo perjudicial, los hackers son expertos informáticos en acceder a sistemas protegidos. Muchos de ellos acaban convirtiéndose en analistas de seguridad. Crackers: Son hackers con objetivos perjudiciales, En numerosas ocaciones, contratados para realizar espionaje empresarial. Ciberterrorista: Expertos en informática e intrusiones en la red que trabajan para países y organizaciones como espías y saboteadores informáticos. Sniffers: Expertos en redes que analizan el tráfico para obtener información extrayéndola de los paquetes que se transmiten por la red. Carders: Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros automáticos. Amenazas lógicas Entre las amenazas lógicas podemos nombrar: Vulnerabilidades de software: Se producen debido a errores en la programación (bugs) o a situaciones no previstas (excepciones). Al software que aprovecha dichos fallos para atacar se le llama exploit. Canales ocultos: Es un canal que puede ser usado para transferir información desde un equipo de un sistema a otro remoto, usando medios no destinados para este propósito por los desarrolladores del sistema. Por ejemplo un keylogger, que envía toda la información tecleada en un equipo a un atacante remoto a través puertas traseras para descubrir información accidental. Virus: Un virus informático es un programa malicioso que se introduce en un ordenador, sin permiso o sin conocimiento de su usuario, para alterar su funcionamiento y, particularmente, con la finalidad de modificar o dañar el sistema. Por norma general, se asocian a un archivo ejecutable, quedando el equipo infectado cuando se abre dicho archivo. Worms (gusanos): parecidos a los virus pero con la capacidad de autopropagarse a través de las redes. Caballos de Troya: Es un malware que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. Rotkits: Es un conjunto de software que permite un acceso de privilegio continuo a un ordenador pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. Backdoors (puertas traseras): es un programa malicioso usado para proporcionar al atacante un acceso remoto al ordenador comprometido no autorizado explotando las vulnerabilidades del sistema. Un backdoor funciona en el segundo plano del sistema y se esconde del usuario. Spyware (software espía): Es un malware que recopila información de un ordenador y se transmite a un equipo remoto sin el conocimiento o el consentimiento del propietario del ordenador. Habitualmente se confunde con el Adware. Hijackers (secuestro): Hace referencia a toda técnica ilegal que lleve consigo el adueñamiento o robo de algo (generalmente información) por parte de un atacante, es por tanto un concepto muy abierto y que puede aplicarse a varios ámbitos, de esta manera podemos encontramos con el adueñamiento o secuestro de conexiones de red, sesiones de terminal, servicios, navegador, etc. Amenazas físicas Podemos caracterizar los siguientes tipos de amenazas físicas: Acceso físico: A menudo se descuida la seguridad sobre el acceso, pero hay que tener en cuenta que cuando existe acceso físico a un recurso ya no existe seguridad alguna sobre el mismo, con el consiguiente riesgo. Por ejemplo: acceso al lugar donde se encuentra un servidor de personal no autorizado, una entrada de red donde se pueda conectar un ordenador. Desastres del entorno y averías del hardware: Dentro de este grupo estarían incluidos sucesos que, sin llegar a la categoría de desastres naturales, pueden tener un impacto igual de importante si no se habilitan las medidas de protección adecuadas: hablamos, por ejemplo, de picos de sobretensión que puedan quemar componentes, apagones que afecten a los servidores, incendios, apagones y similares. Radiaciones electromagnéticas: Sabemos que cualquier aparato eléctrico emite radiaciones y que dichas radiaciones se pueden capturar y reproducir si se dispone del equipamiento adecuado. Desastres naturales: Aquí englobamos gotas frías, las inundaciones por riadas o las lluvias torrenciales puntuales, terremotos, etc. Tipos de ataques Los principales ataques que puede sufrir un sistema si se aprovechan sus vulnerabilidades, son: Nombre del ataque Descripción Interrupción Un recurso del sistema o la red deja de estar disponible debido a un ataque. Generación Se crea un producto (por ejemplo una página Web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario. Interceptación Un intruso accede a la información de nuestro equipo o a la que enviamos por la red. Modificación La información ha sido modificada sin autorización, por lo que ya no es válida. Mecanismos de seguridad Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y la disponibilidad dn sistema informático. Los mecanismos de seguridad los podemos dividir en dos categorías: Mecanismos software ◦ Para la confidencialidad: ▪ Programas de cifrado/descifrado ▪ Certificados digitales de clave pública (criptosistemas asimétricos) ◦ Para la integridad: ▪ Herramientas de detección/limpieza de malware y virus ▪ Herramientas de cálculo y comprobación de hash ▪ Programas de backup (copias de seguridad) ◦ Para disponibilidad: ▪ Software cortafuegos (firewall) ▪ Herramientas de auditoría de red (cableadas e inalámbricas) ◦ Para la autenticación: ▪ Plataformas software para control de acceso ▪ Administración de usuarios ▪ Certificados digitales (autenticación) ◦ Para el no repudio: ▪ Acuses de recibo ▪ Certificados digitales (firma digital) Mecanismos y dispositivos hardware ◦ Para la confidencialidad: ▪ Tarjetas con certificado digital (DNIe u otros organismos) ◦ Para la integridad: ▪ Protectores de corriente (power surge) ▪ Dispositivos de copias de seguridad (backups) ▪ Analizadores forenses ▪ Detectores de presencia ◦ Para disponibilidad: ▪ Cortafuegos (firewall) hardware ▪ SAIs (sistema de alimentación ininterrumpida) ◦ Para la autenticación: ▪ Llaves o tarjetas de control de acceso ▪ Detectores biométricos (huella dactilar, escaner de retina, voz, etc.) ◦ Para el no repudio: ▪ Grabadoras de voz y/o vídeo ▪ Tarjetas con certificado digital (DNIe o otros organismos) Mecanismos de seguridad Existen muchos y variados mecanismos de seguridad y según la función que desempeñen pueden clasificarse en: Preventivos. Actúan antes de que se produzca un ataque. Su finalidad es prevenir que ocurra un ataque. Detectores. Son aquellos que tienen como objetivo detectar todo aquello que pueda ser una amenaza para los bienes. Correctores. Actúan después de que haya habido un ataque y se hayan producido daños. Se encargan de reparar los errores cometidos o daños causados una vez que se ha cometido el ataque. Disuasivos. Se encargan de desalentar a los perpetradores de que cometan sus ataques para minimizar los daños que puedan tener los bienes. La elección de mecanismos de seguridad depende de cada sistema de información, de su función, de las posibilidades económicas de la organización y de cuáles sean los riesgos a los que esté expuesto el sistema. SEGURIDAD LÓGICA: Los mecanismos y herramientas de seguridad lógica tienen como objetivo proteger digitalmente la información de manera directa. Control de acceso mediante nombres de usuario y contraseñas. Cifrado de datos (encriptación). Los datos se enmascaran con una clave especial creada mediante un algoritmo de encriptación. Emisor y receptor son conocedores de la clave y a la llegada del mensaje se produce el descifrado. El cifrado de datos fortalece la confidencialidad. Antivirus. Detectan e impiden la entrada de virus y otro software malicioso. En el caso de infección tienen la capacidad de eliminarlos y de corregir los daños que ocasionan en el sistema. Preventivo, detector y corrector. Protege la integridad de la información. Cortafuegos (firewall). Se trata de uno o más dispositivos de software, de hardware o mixtos que permiten, deniegan o restringen el acceso al sistema. Protege la integridad de la información. Firma digital. Se utiliza para la transmisión de mensajes telemáticos y en la gestión de documentos electrónicos (por ejemplo, gestiones en oficinas virtuales). Su finalidad es identificar de forma segura a la persona o al equipo que se hace responsable del mensaje o del documento. Protege la integridad y la confidencialidad de la información. Certificados digitales. Son documentos digitales mediante los cuales una entidad autorizada garantiza que una persona o entidad es quien dice ser, avalada por la verificación de su clave pública. Protege la integridad y la confidencialidad de la información. SEGURIDAD FÍSICA: Son tareas y mecanismos físicos cuyo objetivo es proteger al sistema (y, por tanto indirectamente a la información) de peligros físicos y lógicos. Respaldo de datos. Guardar copias de seguridad de la información del sistema en lugar seguro. Disponibilidad. Dispositivos físicos de protección, como pararrayos, detectores de humo y extintores, cortafuegos por hardware, alarmas contra intrusos, sistemas de alimentación ininterrumpida (para picos y cortes de corriente eléctrica) o mecanismos de protección contra instalaciones. En cuanto a las personas, acceso restringido a las instalaciones; por ejemplo, mediante vigilantes jurados o cualquier dispositivo que discrimine la entrada de personal a determinadas zonas Análisis y gestión de riesgo El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo. Proceso de análisis de riesgos informáticos El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. Herramientas de análisis y gestión de riesgos. Política de seguridad Recoge las directrices u objetivos de una organización con respecto a la seguridad de la información. Objetivo principal: concienciar a todo el personal de una organización en la necesidad de conocer qué principios rigen la seguridad y cuáles son las normas para conseguir los objetivos de seguridad planificados. No todas las políticas de seguridad son iguales. El contenido depende de la realidad y de las necesidades de la organización para la que se elabora. Existen algunos estándares de políticas de seguridad por países y por áreas (gobierno, medicina, militar...), pero los más internacionales son los definidos por la ISO (International Organization for Standardization). Una política de seguridad contendrá los objetivos de la empresa en materia de seguridad del sistema de información, generalmente englobados en 5 grupos: Identificar las necesidades de seguridad y los riesgos que amenazan al sistema de información, así como evaluar los impactos ante un eventual ataque. Relacionar todas las medidas de seguridad que deben implementarse para afrontar los riesgos de cada activo o grupo de activos. Proporcionar una perspectiva general de las reglas y los procedimientos que deben aplicarse para afrontar los riesgos identificados en los diferentes departamentos de la organización Detectar todas las vulnerabilidades del sistema de información y controlar los fallos que se producen en los activos, incluidas las aplicaciones instaladas. Definir un plan de contingencias. Ejemplos de herramientas de análisis y gestión de riesgos MAGERIT. Es una metodología de análisis y gestión de riesgos de los sistemas de información. En inglés Methodology for Information Systems Risk Analysis and Management. PILAR. Es un procedimiento informático-lógico para el análisis y gestión de riesgos, que sigue la metodología MAGERIT. De uso exclusivo de la Administración Pública Española. Auditoría La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas. Hay dos tipos de auditoría informática: Auditoría interna: Es aquella que se hace desde dentro de la empresa; sin contratar a personas ajenas, en el cual los empleados realizan esta auditoría trabajan ya sea para la empresa que fueron contratados o simplemente algún afiliado a esta. Auditoría externa: Como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Tras el análisis e identificación de vulnerabilidades, la persona o equipo encargado de la auditoría emite un informe que contiene, como mínimo: Descripción y características de los activos y procesos analizados. Análisis de las relaciones y dependencias entre activos o en el proceso de la información. Relación y evaluación de las vulnerabilidades detectadas en cada activo o subconjunto de activos y procesos. Verificación del cumplimiento de la normativa en el ámbito de la seguridad. Propuesta de medidas preventivas y de corrección. Para evaluar la seguridad de un sistema de información se necesitan herramientas de análisis: Manuales. Observación de los activos, procesos y comportamientos, mediciones, entrevistas, cuestionarios, cálculos, pruebas de funcionamiento. Software específico para auditoría. Se le reconoce por las siglas CAAT (Computer Assisted Audit Techniques). Los CAATS son herramientas de gran ayuda para mejorar la eficiencia de una auditoría, pudiendo aplicarse sobre la totalidad una parte del sistema de información. Proporcionan una imagen en tiempo real del sistema de información, realizan pruebas de control y emiten informes en los que señalizan las vulnerabilidades y puntos débiles del sistema, así como las normativas que podrían estar incumpliéndose. La auditoría puede ser total, sobre todo el sistema de información, o parcial, sobre determinados activos o procesos. Plan de contingencias El plan de contingencias es un instrumento de gestión que contiene las medidas que garanticen la continuidad del negocio protegiendo el sistema de información de los peligros que lo amenazan o recuperándolo tras un impacto. El plan de contingencias consta de tres subplanes independientes: Plan de respaldo. Ante una amenaza, se aplican medidas preventivas para evitar que se produzca un daño. Por ejemplo, crear y conservar en lugar seguro copias de seguridad de la información, instalar pararrayos o hacer simulacros de incendio. Plan de emergencia. Contempla qué medidas tomar cuando se está materializando una amenaza o cuando acaba de producirse. Por ejemplo, restaurar de inmediato las copias de seguridad o activar el sistema automático de extinción de incendios. Plan de recuperación. Indica las medidas que se aplicarán cuando se ha producido un desastre. El objetivo es evaluar el impacto y regresar lo antes posible a un estado normal de funcionamiento del sistema y de la organización. Por ejemplo, tener un lugar alternativo donde continuar la actividad si el habitual hubiese sido destruido, sustituir el material deteriorado, reinstalar aplicaciones y restaurar copias de seguridad.